IETF telah menyetujui
standar Lingkungan Manajemen Sertifikat Otomatis (ACME), yang akan membantu mengotomatiskan penerimaan sertifikat SSL. Kami akan memberi tahu Anda cara kerjanya.
/ Flickr / Cliff Johnson / CC BY-SAMengapa Anda membutuhkan standar
Rata-rata, seorang administrator dapat menghabiskan dari satu hingga tiga jam menyiapkan
sertifikat SSL untuk domain. Jika Anda melakukan kesalahan, Anda harus menunggu sampai aplikasi ditolak, hanya setelah itu dapat diajukan lagi. Semua ini membuatnya sulit untuk menerapkan sistem skala besar.
Prosedur validasi domain untuk setiap otoritas sertifikasi dapat bervariasi. Kurangnya standarisasi terkadang menyebabkan masalah keamanan. Ada
kasus yang diketahui ketika, karena bug dalam sistem, satu CA memverifikasi semua domain yang dideklarasikan. Dalam situasi seperti itu, sertifikat SSL dapat dikeluarkan untuk sumber daya penipuan.
Protokol ACME yang disetujui IETF (spesifikasi
RFC8555 ) harus mengotomatisasi dan menstandarisasi proses memperoleh sertifikat. Dan penghapusan faktor manusia akan membantu meningkatkan keandalan dan keamanan verifikasi nama domain.
Standar terbuka, dan semua orang dapat berkontribusi untuk pengembangannya.
Repositori GitHub telah memposting instruksi.
Bagaimana cara kerjanya
Permintaan pertukaran dalam ACME terjadi melalui HTTPS menggunakan pesan JSON. Untuk bekerja dengan protokol, Anda perlu menginstal klien ACME pada node target, itu menghasilkan pasangan kunci unik ketika Anda pertama kali menghubungi CA. Selanjutnya, mereka akan digunakan untuk masuk pada semua pesan klien dan server.
Pesan pertama berisi informasi kontak tentang pemilik domain. Itu ditandatangani dengan kunci pribadi dan, bersama dengan kunci publik, dikirim ke server. Dia memverifikasi keaslian tanda tangan dan, jika semuanya beres, memulai proses penerbitan sertifikat SSL.
Untuk mendapatkan sertifikat, klien harus membuktikan kepada server fakta kepemilikan domain. Untuk melakukan ini, ia melakukan tindakan tertentu yang hanya tersedia untuk pemilik. Misalnya, otoritas sertifikasi dapat membuat token unik dan meminta klien untuk mempostingnya di situs. Selanjutnya, CA membuat kueri web atau DNS untuk mengambil kunci dari token ini.
Misalnya, dalam hal HTTP, kunci dari token harus ditempatkan dalam file yang akan dilayani oleh server web. Selama verifikasi DNS, pusat sertifikasi akan mencari kunci unik dalam dokumen teks dari catatan DNS. Jika semuanya beres, server mengonfirmasi bahwa klien telah lulus validasi dan CA mengeluarkan sertifikat.
/ Flickr / Blondinrikard FrΓΆberg / CC BYPendapat
Menurut IETF, ACME akan bermanfaat bagi administrator yang harus bekerja dengan banyak nama domain. Standar akan membantu menghubungkan masing-masing dengan SSL yang diperlukan.
Di antara kelebihan standar, para ahli juga mencatat beberapa
mekanisme keamanan . Mereka harus memastikan bahwa sertifikat SSL hanya diberikan kepada pemilik domain sejati. Secara khusus, satu set ekstensi
DNSSEC digunakan untuk melindungi terhadap serangan DNS, dan untuk melindungi terhadap DoS, standar membatasi kecepatan permintaan individu - misalnya, HTTP untuk metode
POST . Pengembang ACME sendiri
merekomendasikan untuk menambahkan entropi ke permintaan DNS dan menjalankannya dari beberapa titik di jaringan untuk meningkatkan keamanan.
Solusi serupa
SCEP dan
EST juga digunakan untuk mendapatkan sertifikat.
Yang pertama dikembangkan di Cisco Systems. Tujuannya adalah untuk menyederhanakan proses penerbitan sertifikat digital X.509 dan menjadikannya scalable mungkin. Sebelum SCEP, proses ini membutuhkan partisipasi aktif dari administrator sistem dan tidak skala dengan baik. Saat ini, protokol ini adalah salah satu yang paling umum.
Adapun EST, ini memungkinkan klien PKI untuk menerima sertifikat melalui saluran yang aman. Menggunakan TLS untuk mengirim pesan dan mengeluarkan SSL, serta untuk mengikat CSR ke pengirim. Selain itu, EST mendukung teknik kriptografi elips, yang menciptakan lapisan perlindungan tambahan.
Menurut
para ahli , solusi seperti ACME perlu didistribusikan secara lebih luas. Mereka menawarkan model konfigurasi SSL yang disederhanakan dan aman dan mempercepat prosesnya.
Posting tambahan dari blog perusahaan kami: