A IETF aprovou
o padrão ACME (Automatic Certificate Management Environment), que ajudará a automatizar o recebimento de certificados SSL. Vamos contar como funciona.
/ Flickr / Cliff Johnson / CC BY-SAPor que você precisa de um padrão
Em média, um administrador pode gastar de uma a três horas configurando um
certificado SSL para um domínio. Se você cometer um erro, terá que esperar até que a inscrição seja rejeitada, somente depois disso poderá ser enviada novamente. Tudo isso dificulta a implantação de sistemas em larga escala.
O procedimento de validação de domínio para cada autoridade de certificação pode variar. A falta de padronização às vezes leva a problemas de segurança. Há um
caso conhecido quando, devido a um erro no sistema, uma CA verificou todos os domínios declarados. Nessas situações, os certificados SSL podem ser emitidos para recursos fraudulentos.
O protocolo ACME aprovado pela IETF (especificação
RFC8555 ) deve automatizar e padronizar o processo de obtenção de um certificado. E a eliminação do fator humano ajudará a aumentar a confiabilidade e a segurança da verificação de nomes de domínio.
O padrão é aberto e todos podem contribuir para o seu desenvolvimento. O
repositório do GitHub postou instruções.
Como isso funciona
A troca de solicitações no ACME ocorre por HTTPS usando mensagens JSON. Para trabalhar com o protocolo, você precisa instalar um cliente ACME no nó de destino; ele gera um par de chaves exclusivo quando você entra em contato com a CA. Posteriormente, eles serão usados para assinar todas as mensagens do cliente e do servidor.
A primeira mensagem contém informações de contato sobre o proprietário do domínio. É assinado com uma chave privada e, junto com a chave pública, é enviado ao servidor. Ele verifica a autenticidade da assinatura e, se tudo estiver em ordem, inicia o processo de emissão de um certificado SSL.
Para obter um certificado, o cliente deve provar ao servidor o fato da propriedade do domínio. Para fazer isso, ele executa determinadas ações que estão disponíveis apenas para o proprietário. Por exemplo, uma autoridade de certificação pode gerar um token exclusivo e solicitar ao cliente que o publique no site. Em seguida, a CA gera uma consulta na Web ou DNS para recuperar a chave desse token.
Por exemplo, no caso de HTTP, a chave do token deve ser colocada em um arquivo que será servido pelo servidor da web. Durante a verificação do DNS, o centro de certificação procurará uma chave exclusiva no documento de texto do registro DNS. Se tudo estiver em ordem, o servidor confirmará que o cliente passou na validação e a CA emite um certificado.
/ Flickr / Blondinrikard Fröberg / CC BYPareceres
Segundo
o IETF, o ACME será útil para administradores que precisam trabalhar com vários nomes de domínio. O padrão ajudará a conectar cada um deles com o SSL necessário.
Entre as vantagens do padrão, os especialistas também observam vários
mecanismos de segurança . Eles devem garantir que os certificados SSL sejam emitidos apenas para os verdadeiros proprietários do domínio. Em particular, um conjunto de extensões
DNSSEC é usado para proteger contra ataques DNS e para proteger contra DoS, o padrão limita a velocidade de solicitações individuais - por exemplo, HTTP para o método
POST . Os próprios desenvolvedores da ACME
recomendam adicionar entropia às consultas DNS e executá-las a partir de vários pontos da rede para aumentar a segurança.
Soluções semelhantes
SCEP e
EST também são usados para obter certificados.
O primeiro foi desenvolvido na Cisco Systems. Seu objetivo era simplificar o processo de emissão de certificados digitais X.509 e torná-lo o mais escalável possível. Antes do SCEP, esse processo exigia a participação ativa dos administradores de sistema e não era bem dimensionado. Hoje, esse protocolo é um dos mais comuns.
Quanto ao EST, ele permite que clientes PKI recebam certificados por canais seguros. Ele usa o TLS para enviar mensagens e emitir SSL, além de vincular a CSR ao remetente. Além disso, o EST suporta técnicas de criptografia elíptica, que criam uma camada adicional de proteção.
Segundo
especialistas , soluções como a ACME precisarão ser mais amplamente distribuídas. Eles oferecem um modelo de configuração SSL simplificado e seguro e aceleram o processo.
Publicações adicionais do nosso blog corporativo: