/ Flickr / Cliff Johnson / CC BY-SA
なぜ標準が必要なのですか
管理者は、平均して、ドメインのSSL証明書のセットアップに1〜3時間かかります。 間違えた場合は、申請が却下されるまで待つ必要があります。その後、申請を再度送信できます。 これにより、大規模システムの展開が困難になります。
各証明機関のドメイン検証手順は異なる場合があります。 標準化の欠如は、時々セキュリティ問題につながります。 システムのバグが原因で、1つのCAが宣言されたすべてのドメインを検証したという既知のケースがあります。 このような状況では、SSL証明書が不正なリソースに発行される可能性があります。
IETF承認のACMEプロトコル( RFC8555仕様)は、証明書を取得するプロセスを自動化および標準化する必要があります。 また、人的要因を排除することで、ドメイン名検証の信頼性とセキュリティが向上します。
標準はオープンであり、誰でもその開発に貢献できます。 GitHubリポジトリに手順が投稿されています 。
仕組み
ACMEでのリクエスト交換は、JSONメッセージを使用してHTTPS経由で行われます。 プロトコルを使用するには、ターゲットノードにACMEクライアントをインストールする必要があり、最初にCAに連絡したときに一意のキーペアが生成されます。 その後、それらはすべてのクライアントおよびサーバーメッセージの署名に使用されます。
最初のメッセージには、ドメイン所有者に関する連絡先情報が含まれています。 秘密鍵で署名され、公開鍵とともにサーバーに送信されます。 彼は署名の信ity性を検証し、すべてが正常である場合、SSL証明書の発行プロセスを開始します。
証明書を取得するには、クライアントはドメイン所有権の事実をサーバーに証明する必要があります。 これを行うには、所有者のみが利用できる特定のアクションを実行します。 たとえば、証明機関は一意のトークンを生成し、クライアントにサイトに投稿するよう依頼する場合があります。 次に、CAはWebまたはDNSクエリを生成して、このトークンからキーを取得します。
たとえば、HTTPの場合、トークンからのキーは、Webサーバーによって提供されるファイルに配置する必要があります。 DNS検証中、認証センターはDNSレコードのテキストドキュメントで一意のキーを探します。 すべてが正常である場合、サーバーはクライアントが検証に合格し、CAが証明書を発行したことを確認します。
/ Flickr / BlondinrikardFröberg / CC BY
ご意見
IETFによると 、ACMEは複数のドメイン名を使用する必要がある管理者にとって有用です。 標準は、それぞれを必要なSSLに接続するのに役立ちます。
標準の利点の中でも、専門家はいくつかのセキュリティメカニズムにも注目しています。 SSL証明書が真のドメイン所有者にのみ発行されるようにする必要があります。 特に、 DNSSEC拡張機能のセットは、DNS攻撃から保護するために使用され、DoSから保護するために、標準では、 POSTメソッドのHTTPなど、個々の要求の速度を制限します。 ACME開発者は 、DNSクエリにエントロピーを追加し、ネットワーク上の複数のポイントからそれらを実行してセキュリティを強化することを推奨しています。
同様のソリューション
SCEPおよびESTは、証明書の取得にも使用されます。
最初のものはシスコシステムズで開発されました。 その目標は、デジタル証明書X.509の発行プロセスを簡素化し、可能な限りスケーラブルにすることでした。 SCEP以前は、このプロセスにはシステム管理者の積極的な参加が必要でしたが、うまく拡張できませんでした。 現在、このプロトコルは最も一般的なものの1つです。
ESTに関しては、PKIクライアントが安全なチャネルを介して証明書を受信できるようにします。 TLSを使用してメッセージを送信し、SSLを発行し、CSRを送信者にバインドします。 さらに、ESTは、追加の保護層を作成する楕円暗号技術をサポートしています。
専門家によると 、ACMEのようなソリューションはより広く配布される必要があるでしょう。 シンプルで安全なSSL構成モデルを提供し、プロセスを高速化します。