IETF схвалив стандарт Automatic Certificate Management Environment (ACME) для роботи із SSL-сертифікатами
IETF схвалив стандарт Automatic Certificate Management Environment (ACME) для роботи з SSL-сертифікатами
IETF схвалив стандарт Automatic Certificate Management Environment (ACME), який допоможе автоматизувати отримання SSL-сертифікатів
У середньому на налаштування SSL-сертифіката для домену адміністратор може витратити від однієї до трьох годин. Якщо припуститися помилки, доведеться чекати, поки заявку буде відхилено, тільки після цього її можна подати знову. Все це ускладнює розгортання масштабних систем.
Процедура валідації домену у кожного сертифікаційного центру може відрізнятися. Відсутність стандартизації часом призводить до проблем безпеки. Відомий випадок, коли через баг в системі один CA верифікував всі заявлені домени. У таких ситуаціях SSL-сертифікати можуть видаватися шахрайським ресурсам.
Схвалений протокол IETF ACME (специфікація RFC8555) повинен автоматизувати та стандартизувати процес отримання сертифіката. А виняток людського чинника допоможе підвищити надійність і безпеку верифікації доменного імені. Стандарт є відкритим, і зробити внесок у його розробку можуть усі охочі. У репозиторії на GitHub опубліковано відповідні інструкції.
Обмін запитами в ACME відбувається через HTTPS за допомогою JSON-повідомлень. Для роботи з протоколом необхідно встановити цільовий вузол ACME-клієнт, він генерує унікальну пару ключів при першому зверненні до CA. Згодом вони будуть використовуватися для встановлення підпису на всіх повідомленнях клієнта та сервера.
Перше повідомлення містить контактну інформацію про власника домену. Воно підписується закритим ключем і разом із відкритим ключем відправляється серверу. Він перевіряє справжність підпису і, якщо все в Порядок, починає процедуру видачі SSL-сертифіката.
Щоб отримати сертифікат клієнт повинен довести серверу факт володіння доменом. І тому він здійснює певні дії, доступні лише власнику. Наприклад, центр сертифікації може створити унікальний токен і попросити клієнта розмістити його на сайті. Далі, CA формує веб- або DNS-запит для вилучення ключа з цього токена.
Наприклад, у випадку з HTTP ключ з токена необхідно помістити у файл, який обслуговуватиметься веб-сервером. Під час DNS-верифікації сертифікаційний центр шукатиме унікальний ключ у текстовому документі DNS-запису. Якщо все гаразд, сервер підтверджує, що клієнт пройшов валідацію та CA випускає сертифікат.
За словами IETF, ACME буде корисним адміністраторам, яким доводиться працювати з кількома доменними іменами. Стандарт допоможе зв'язати кожен із них з потрібними SSL.
Серед переваг стандарту експерти також відзначають кілька механізмів безпеки. Вони повинні гарантувати, що SSL-сертифікати видаються лише справжнім власникам доменів. Зокрема, для захисту від DNS-атак застосовується набір розширень DNSSEC, а захисту від DoS стандарт обмежує швидкість виконання окремих запитів — наприклад, HTTP для методу POST. Самі розробники ACME рекомендують для підвищення безпеки додавати ентропію до DNS-запитів та виконувати їх із кількох точок мережі.
