Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта

12.03.2019 10:31

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола ACME (Automatic Certificate Management Environment) и опубликовал связанную с ним спецификацию под идентификатором RFC 8555. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера, например, для автоматизации получения и обслуживания сертификатов. Запросы передаются в формате JSON поверх HTTPS. Стандартизирована вторая версия протокола ACMEv2, обеспечивающая поддержку масок в сертификатах, предоставляющая усовершенствованный механизм авторизации, поддерживающий операции переименования ресурсов и предлагающий новый метод проверки владения доменом TLS-SNI-02 (не вошёл в RFC).

Проект разработан некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. Доступны реализации ACME на различных языках программирования, а также специализированный модуль для http-сервера Apache (входит в основной состав начиная с выпуска 2.4.33).

Дополнительно опубликован план прекращения поддержки прошлой версии протокола ACMEv1. Начиная с ноября 2019 года будет убрана возможность создания новых учётных записей при помощи ACMEv1, начиная с июня 2020 года будет отключена возможность проверки для новых доменов. Начиная с января 2021 года раз в месяц поддержка протокола ACMEv1 будет отключаться на 24 часа для инициирования вывода ошибок на стороне клиентов. Полностью поддержка ACMEv1 будет отключена в июне 2021 года.

исправить +40 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/50301-acme

Ключевые слова: acme, https, cert, letsencrypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (51)

1.1, Аноним (1), 10:42, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Да, это будет круто. Давно пора все такие вещи автоматизировать

1.3, Аноним (3), 11:44, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
>Дополнительно опубликован план прекращения поддержки прошлой версии протокола ACMEv1. 'раз настроилъ и забылъ' - говорили они.

2.4, Аноним (-), 11:51, 12/03/2019 [^] [^^] [^^^] [ответить]	–5 +/–
> 'раз настроилъ и забылъ' - говорили они. Как страшный сон!

2.5, mumu (ok), 12:03, 12/03/2019 [^] [^^] [^^^] [ответить]	+3 +/–
ИТ - динамично развивающаяся область. Никто под пистолетом не заставляет в неё соваться.

3.6, петя (?), 12:18, 12/03/2019 [^] [^^] [^^^] [ответить]	–4 +/–
ежики давились, но продолжали жрать кактус

4.7, Andrey Mitrofanov (?), 12:28, 12/03/2019 [^] [^^] [^^^] [ответить]

+4 +/–

> ежики

мыши

>давились

плакали, кололись

5.8, Аноним (8), 12:42, 12/03/2019 [^] [^^] [^^^] [ответить]	+10 +/–
мыши плакали, кололись, но продолжали жрать ежика

6.9, Аноним (9), 12:45, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Не, там филин посоветовал мышам стать ёжиками.

6.12, Andrey Mitrofanov (?), 13:02, 12/03/2019 [^] [^^] [^^^] [ответить]

+/–

> мыши плакали, кололись, но продолжали

лохматить бабушку </хватит да уже>

6.52, metakeks (?), 22:16, 14/03/2019 [^] [^^] [^^^] [ответить]	+/–
Семья жрать захочет, с кормильцем, и не так страдать будете.

2.32, Аноним (32), 21:23, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Всё верно, раз настроил и забыл. Обновление протокола вам прилетит само, вместе с обновлением софта. Вы же не оставляете сервер, торчащий голой жопой в интернет, без обновлений, правда?

3.47, Аноним (47), 10:48, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
И забыл, пока не кончилась память, либо пока не прилетел сплойт, либо пока не забанили протокол. И так на каждом хосте где нужен ссл-сертификат. Ты так и делаешь, да?

4.51, OldMonster (ok), 10:05, 14/03/2019 [^] [^^] [^^^] [ответить]	+/–
>И так на каждом хосте где нужен ссл-сертификат. Хм. На все мои хосты получаю сертификаты, сидя на ns1. Далее скрипт (scp+ssh). Я что-то делаю не так?

2.38, KonstantinB (ok), 04:02, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
За 2.5 года можно успеть в конфиге 1 на 2 поменять :-)

3.48, Аноним (47), 10:50, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Там выше аноним советует настраивать на каждом сервере и забывать. А ты советуешь каждые 2.5 года что-то менять. Фу.

1.10, Аноним (10), 12:47, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вы по прежнему можете купить DV сроком на год у других ЦС.

2.13, Аноним (13), 13:04, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Что и делаем, в общем.

3.24, dry (ok), 16:01, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
В редких, отдельных случаях. Но и эти проблемы решаемы.

1.11, InuYasha (?), 12:48, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Всё та же старая пластинка о централизованном "доверии" какой-нибудь хитрой конторе типа ViralSign, которой владеет (не)известно кто, берёт деньги "за доверие", может в любой момент любой хост заклеймить "недоверенным" и т.д. А ещё придется привязывать сертификаты к платным DNS-именам, которые тоже централизованно-подконтрольные. В итоге-то очевидно, что интернет сейчас - абсолютно пирамидальная система, вне зависимости от автоматизации. :(

2.46, Онанимус (?), 10:27, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> А ещё придется привязывать сертификаты к платным DNS-именам Вот это поподробней пожалуйста.

1.14, litrovi4 (?), 13:26, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

...
> Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера,
> например, для автоматизации получения и обслуживания сертификатов. Запросы передаются
> в формате JSON поверх HTTPS. Проект разработан некоммерческим удостоверяющим центром Let’s

...

HTTP(S) - шо, опять ? (c)

1.15, Аноним (15), 13:51, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
>предоставляющим сертификаты безвозмездно всем желающим. Не перестаю поражаться, как долго удавалось торговать воздухом.

2.16, Аноним (16), 14:12, 12/03/2019 [^] [^^] [^^^] [ответить]	–3 +/–
Серверы и электричество из воздуха тоже беруться? Или админам можно зарплату воздухом платить?

3.20, Annoynymous (ok), 15:02, 12/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Для выдачи сертификатов не нужны ни серверы, ни админы. А вот для DNS, например, нужны — но DNS почему-то бесплатный.

4.27, anonymous (??), 18:31, 12/03/2019 [^] [^^] [^^^] [ответить]	–2 +/–
а сертификаты подписываются как? перстом божьим? может для этого signing server нужен?

5.31, Annoynymous (ok), 20:41, 12/03/2019 [^] [^^] [^^^] [ответить]	–2 +/–
> а сертификаты подписываются как? перстом божьим? может для этого signing server нужен? Не нужен, достаточно одного компа, на котором всё подписывается. Совершенно не нужно превращать его в сервер.

3.21, Аноним (9), 15:04, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Дополнительное электричество и новые сервера покупаются как раз из-за повсеместного внедрения "бесплатных" сертификатов.

2.17, Григорий Федорович Конин (?), 14:14, 12/03/2019 [^] [^^] [^^^] [ответить]	–6 +/–
вы же понимаете что у бесплатного и платного сертификата есть некотарое различие? Например, мне бы не хотелось видеть бесплатный сертификат у банка. А для бложика, конечно, сойдет.

3.18, Drew (??), 14:48, 12/03/2019 [^] [^^] [^^^] [ответить]

+/–

> Например, мне бы не хотелось видеть бесплатный сертификат у банка.

Да, вообще-то, мне бы не хотелось видеть не-EV-сертификат у банка. ;)

Ну а так -- ACME/Let's Encrypt для бложегов и придумали же. Каждый занимает свою нишу...

4.22, Tita_M (ok), 15:07, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Вот где-то неделю-две назад видел сертификат от Let's Encrypt на вредоносном домене так что не только для бложегов.

5.25, Kuromi (ok), 17:59, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
А уже довольно давно вредоносные сайты массово используют LE сертификаты для создания видимости легитимности. Дошло до того, что во всяких "советах для новичков по безопасности" уже начали делать ремарки вида "протокол HTTPS не означает что сайт точно не поддельная копия банка". Представители и евангелисты LE в свою очередь на это отвечают, что HTTPS это в первую очередь технология защиты соединения от подсматривания и перехвата, а не "защита клиента от скама".

6.29, Онанёр (?), 19:06, 12/03/2019 [^] [^^] [^^^] [ответить]	+3 +/–
"Представители и евангелисты LE в свою очередь на это отвечают, что HTTPS это в первую очередь технология защиты соединения от подсматривания и перехвата, а не "защита клиента от скама"." А это не так?

7.33, Kuromi (ok), 22:36, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Это-то так, но у "массовой публики" за годы сложилось иное мнение, мол сертификат = неанонимный проверенный сайт уважаемой компании, чем некоторые скаммерсанты и пользуются.

8.34, епваывпв (?), 23:08, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Для массовой публики сертификат - то, что дарят на День рожденья Тот факт, что ... текст свёрнут, показать

9.35, Онаним (?), 00:12, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
LE неплохо бы подсвечивать жёлтеньким А лучше - красненьким ... текст свёрнут, показать

10.37, Kuromi (ok), 00:41, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Лучше всего было делать как когда в Firefox тестировали Opportunistic Security -... текст свёрнут, показать

9.36, Kuromi (ok), 00:38, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Плохой подарок на днюху - сертификат Правильные друзья дарят либо деньги либо т... текст свёрнут, показать

10.43, True anon (?), 08:53, 13/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Зачем мне бензин, если у меня нету авто Ну таких друзей... текст свёрнут, показать

10.50, Аноним (47), 10:55, 13/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Хороший друг подарит полезную лично тебе книгу Деньгами и спиртным от тебя отку... текст свёрнут, показать

6.42, Dmitry77 (ok), 07:38, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Это да, а то задолбали рекламой открытые wifi точки..

4.26, Kuromi (ok), 18:02, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
В принипе так и должно быть, сурьезный бизнес платит серьезные деньги за получение расширенных сертификатов, а если задача просто сделать HTTPS то хватит и LE. Другой вопрос что неоднократно уже выяснялось, что "серьезные дяди" порой выдавали расширенные сертификаты непойми кому не делая никаких проверок либо делая их крайне формально.

3.19, Аноним (8), 14:48, 12/03/2019 [^] [^^] [^^^] [ответить]

+1 +/–

> вы же понимаете что у бесплатного и платного сертификата есть некотарое различие? Например, мне бы не хотелось видеть бесплатный сертификат у банка.
>
> А для бложика, конечно, сойдет.

https://brand.santander.com/en/

3.39, Ключевский (?), 04:16, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Ты вот сюда https://www.sberbank.ru/ не ходи, а то там обычный DV-сертификат, а не EV :-D

4.44, Аноним (15), 09:02, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Сбербанк АСТ до сих пор требует Internet Explorer для подачи заявки. Вчера мучался.

3.45, mumu (ok), 09:27, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
И работать этот банк конечно тоже должен по какому-нибудь сурьёзному платному протоколу. Бесплатный Http(s) только для бложиков

2.49, Аноним (47), 10:53, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Это у тебя из-за возраста. Лет через 30 возможно дойдёт, что это единственное, чем теперь занимается человечество.

1.23, Аноним (23), 15:20, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> TLS-SNI-02 А чем вторая версия отличается от первой?

2.28, zanswer CCNA RS and S (?), 18:53, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Его в RFC 8555 вообще нет: The values "tls-sni-01" and "tls-sni-02" are reserved because they were used in pre-RFC versions of this specification to denote validation methods that were removed because they were found not to be secure in some cases.

3.30, Аноним (23), 19:50, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
> и предлагающий новый метод проверки владения доменом TLS-SNI-02 (не вошёл в RFC). тогда как понять что изменилось?

4.40, zanswer CCNA RS and S (?), 07:06, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Хороший вопрос, могу предположить только, что возможно речь идёт о вот этом Draft: draft-ietf-tls-esni-03: Encrypted Server Name Indication for TLS 1.3, но не утверждаю.

5.41, zanswer CCNA RS and S (?), 07:21, 13/03/2019 [^] [^^] [^^^] [ответить]

+/–

Я был не прав, речь не об этом, а вот об этом:

draft-ietf-acme-acme-01: Automatic Certificate Management Environment (ACME)

"type (required, string): The string "tls-sni-01"

   token (required, string):  A random value that uniquely identifies
      the challenge.  This value MUST have at least 128 bits of entropy,
      in order to prevent an attacker from guessing it.  It MUST NOT
      contain any characters outside the URL-safe Base64 alphabet.

n (required, number): Number of tls-sni-01 iterations

   {
     "type": "tls-sni-01",
     "token": "evaGxfADs6pSRb2LAv9IZf17Dt3juxGJ-PCt92wr-oA",
     "n": 25
   }"

draft-ietf-acme-acme-09: Automatic Certificate Management Environment (ACME)

"type (required, string): The string "tls-sni-02"

   token (required, string):  A random value that uniquely identifies
      the challenge.  This value MUST have at least 128 bits of entropy.
      It MUST NOT contain any characters outside the base64url alphabet,
      including padding characters ("=").

GET /acme/authz/1234/1 HTTP/1.1
Host: example.com

   HTTP/1.1 200 OK
   {
     "type": "tls-sni-02",
     "url": "https://example.com/acme/authz/1234/1",
     "status": "pending",
     "token": "evaGxfADs6pSRb2LAv9IZf17Dt3juxGJ-PCt92wr-oA"
   }"

Собственно говоря полный список отличий между TLS-SNI-01 и TLS-SNI-02, можно почерпнуть из анализа этих двух версий Draft. Если это вообще требуется, ведь в RFC 8555 эти механизмы вообще не вошли, им на замену предлагается следующий механизм: draft-ietf-acme-tls-alpn-05: ACME TLS ALPN Challenge Extension.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: