IETF已批准自动证书管理环境(ACME)
标准 ,该
标准将帮助自动接收SSL证书。 我们将告诉您其运作方式。
/ Flickr / 克里夫·约翰逊 / CC BY-SA你为什么需要一个标准
管理员平均可以花一到三个小时为域设置
SSL证书 。 如果您输入有误,则必须等到申请被拒绝后才能再次提交。 所有这些使部署大型系统变得困难。
每个证书颁发机构的域验证过程可能有所不同。 缺乏标准化有时会导致安全问题。 在已知
情况下 ,由于系统中的错误,一个CA会验证所有声明的域。 在这种情况下,可以将SSL证书颁发给欺诈性资源。
IETF批准的ACME协议(
RFC8555规范)应使证书的获取过程自动化和标准化。 消除人为因素将有助于提高域名验证的可靠性和安全性。
该标准是开放的,每个人都可以为它的发展做出贡献。
GitHub存储库已发布说明。
如何运作
ACME中的请求交换使用JSON消息通过HTTPS进行。 要使用该协议,您需要在目标节点上安装ACME客户端,当您首次联系CA时,它将生成唯一的密钥对。 随后,它们将用于在所有客户端和服务器消息上签名。
第一条消息包含有关域所有者的联系信息。 它用私钥签名,并与公钥一起发送到服务器。 他验证签名的真实性,如果一切正常,则开始颁发SSL证书的过程。
为了获得证书,客户端必须向服务器证明域所有权的事实。 为此,他执行了某些仅对所有者可用的操作。 例如,证书颁发机构可能会生成一个唯一的令牌,并要求客户将其发布在网站上。 接下来,CA生成Web或DNS查询以从此令牌中检索密钥。
例如,对于HTTP,必须将令牌中的密钥放置在Web服务器将要服务的文件中。 在DNS验证期间,认证中心将在DNS记录的文本文档中查找唯一密钥。 如果一切正常,则服务器确认客户端已通过验证,并且CA颁发了证书。
/ Flickr / BlondinrikardFröberg / CC BY意见
根据IETF的说法,ACME对于必须使用多个域名的管理员非常有用。 该标准将有助于使用必要的SSL连接它们中的每个。
在该标准的优点中,专家们还注意到了几种
安全机制 。 他们必须确保仅将SSL证书颁发给真正的域所有者。 尤其是,一组
DNSSEC扩展用于防止DNS攻击和DoS,该标准限制了单个请求的速度,例如
POST方法的HTTP。 ACME开发人员自己
建议将熵添加到DNS查询中,并从网络上的多个角度对其进行执行以提高安全性。
类似的解决方案
SCEP和
EST也用于获取证书。
第一个是在思科系统公司开发的。 其目标是简化发行数字证书X.509的过程,并使其尽可能具有可伸缩性。 在SCEP之前,此过程需要系统管理员的积极参与,并且伸缩性不佳。 今天,该协议是最常见的协议之一。
至于EST,它允许PKI客户端通过安全通道接收证书。 它使用TLS来发送消息和发出SSL,以及将CSR绑定到发送者。 此外,EST支持椭圆加密技术,从而创建了额外的保护层。
根据
专家的说法,像ACME这样的解决方案将需要更广泛地分发。 它们提供了简化且安全的SSL配置模型,并加快了流程。
我们公司博客中的其他帖子: