The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта

12.03.2019 10:31

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола ACME (Automatic Certificate Management Environment) и опубликовал связанную с ним спецификацию под идентификатором RFC 8555. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера, например, для автоматизации получения и обслуживания сертификатов. Запросы передаются в формате JSON поверх HTTPS. Стандартизирована вторая версия протокола ACMEv2, обеспечивающая поддержку масок в сертификатах, предоставляющая усовершенствованный механизм авторизации, поддерживающий операции переименования ресурсов и предлагающий новый метод проверки владения доменом TLS-SNI-02 (не вошёл в RFC).

Проект разработан некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. Доступны реализации ACME на различных языках программирования, а также специализированный модуль для http-сервера Apache (входит в основной состав начиная с выпуска 2.4.33).

Дополнительно опубликован план прекращения поддержки прошлой версии протокола ACMEv1. Начиная с ноября 2019 года будет убрана возможность создания новых учётных записей при помощи ACMEv1, начиная с июня 2020 года будет отключена возможность проверки для новых доменов. Начиная с января 2021 года раз в месяц поддержка протокола ACMEv1 будет отключаться на 24 часа для инициирования вывода ошибок на стороне клиентов. Полностью поддержка ACMEv1 будет отключена в июне 2021 года.

  1. Главная ссылка к новости (https://letsencrypt.org/2019/0...)
  2. OpenNews: Проект Let's Encrypt опубликовал планы на 2019 год
  3. OpenNews: Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок
  4. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  5. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: acme, https, cert, letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 10:42, 12/03/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    Да, это будет круто. Давно пора все такие вещи автоматизировать
     
  • 1.3, Аноним (3), 11:44, 12/03/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +6 +/
    >Дополнительно опубликован план прекращения поддержки прошлой версии протокола ACMEv1.

    'раз настроилъ и забылъ' - говорили они.

     
     
  • 2.4, Аноним (-), 11:51, 12/03/2019 [^] [ответить]    [к модератору]
  • –5 +/
    > 'раз настроилъ и забылъ' - говорили они.

    Как страшный сон!

     
  • 2.5, mumu (ok), 12:03, 12/03/2019 [^] [ответить]    [к модератору]
  • +3 +/
    ИТ - динамично развивающаяся область. Никто под пистолетом не заставляет в неё соваться.
     
     
  • 3.6, петя (?), 12:18, 12/03/2019 [^] [ответить]    [к модератору]
  • –4 +/
    ежики давились, но продолжали жрать кактус
     
     
  • 4.7, Andrey Mitrofanov (?), 12:28, 12/03/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    > ежики

    мыши

    >давились

    плакали, кололись

     
     
  • 5.8, Аноним (8), 12:42, 12/03/2019 [^] [ответить]    [к модератору]  
  • +10 +/
    мыши плакали, кололись, но продолжали жрать ежика
     
     
  • 6.9, Аноним (9), 12:45, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Не, там филин посоветовал мышам стать ёжиками.
     
  • 6.12, Andrey Mitrofanov (?), 13:02, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > мыши плакали, кололись, но продолжали

    лохматить бабушку </хватит да уже>


     
  • 6.52, metakeks (?), 22:16, 14/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Семья жрать захочет, с кормильцем, и не так страдать будете.
     
  • 2.32, Аноним (32), 21:23, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Всё верно, раз настроил и забыл. Обновление протокола вам прилетит само, вместе с обновлением софта. Вы же не оставляете сервер, торчащий голой жопой в интернет, без обновлений, правда?
     
     
  • 3.47, Аноним (47), 10:48, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    И забыл, пока не кончилась память, либо пока не прилетел сплойт, либо пока не забанили протокол. И так на каждом хосте где нужен ссл-сертификат. Ты так и делаешь, да?
     
     
  • 4.51, OldMonster (ok), 10:05, 14/03/2019 [^] [ответить]    [к модератору]  
  • +/
    >И так на каждом хосте где нужен ссл-сертификат.

    Хм. На все мои хосты получаю сертификаты, сидя на ns1. Далее скрипт (scp+ssh).
    Я что-то делаю не так?

     
  • 2.38, KonstantinB (ok), 04:02, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    За 2.5 года можно успеть в конфиге 1 на 2 поменять :-)
     
     
  • 3.48, Аноним (47), 10:50, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Там выше аноним советует настраивать на каждом сервере и забывать. А ты советуешь каждые 2.5 года что-то менять. Фу.
     
  • 1.10, Аноним (10), 12:47, 12/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вы по прежнему можете купить DV сроком на год у других ЦС.
     
     
  • 2.13, Аноним (13), 13:04, 12/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Что и делаем, в общем.
     
     
  • 3.24, dry (ok), 16:01, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    В редких, отдельных случаях. Но и эти проблемы решаемы.
     
  • 1.11, InuYasha (?), 12:48, 12/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Всё та же старая пластинка о централизованном "доверии" какой-нибудь хитрой конторе типа ViralSign, которой владеет (не)известно кто, берёт деньги "за доверие", может в любой момент любой хост заклеймить "недоверенным" и т.д.
    А ещё придется привязывать сертификаты к платным DNS-именам, которые тоже централизованно-подконтрольные.
    В итоге-то очевидно, что интернет сейчас - абсолютно пирамидальная система, вне зависимости от автоматизации. :(
     
     
  • 2.46, Онанимус (?), 10:27, 13/03/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > А ещё придется привязывать сертификаты к платным DNS-именам

    Вот это поподробней пожалуйста.

     
  • 1.14, litrovi4 (?), 13:26, 12/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    ...
    > Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера,
    > например, для автоматизации получения и обслуживания сертификатов. Запросы передаются
    > в формате JSON поверх HTTPS. Проект разработан некоммерческим удостоверяющим центром Let’s

    ...

    HTTP(S) - шо, опять ? (c)


     
  • 1.15, Аноним (15), 13:51, 12/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    >предоставляющим сертификаты безвозмездно всем желающим.

    Не перестаю поражаться, как долго удавалось торговать воздухом.

     
     
  • 2.16, Аноним (16), 14:12, 12/03/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    Серверы и электричество из воздуха тоже беруться? Или админам можно зарплату воздухом платить?
     
     
  • 3.20, Annoynymous (ok), 15:02, 12/03/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Для выдачи сертификатов не нужны ни серверы, ни админы.

    А вот для DNS, например, нужны — но DNS почему-то бесплатный.

     
     
  • 4.27, anonymous (??), 18:31, 12/03/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    а сертификаты подписываются как? перстом божьим? может для этого signing server нужен?
     
     
  • 5.31, Annoynymous (ok), 20:41, 12/03/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    Не нужен, достаточно одного компа, на котором всё подписывается Совершенно не н... весь текст скрыт [показать]
     
  • 3.21, Аноним (9), 15:04, 12/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Дополнительное электричество и новые сервера покупаются как раз из-за повсеместного внедрения "бесплатных" сертификатов.
     
  • 2.17, Григорий Федорович Конин (?), 14:14, 12/03/2019 [^] [ответить]    [к модератору]  
  • –6 +/
    вы же понимаете что у бесплатного и платного сертификата есть некотарое различие? Например, мне бы не хотелось видеть бесплатный сертификат у банка.

    А для бложика, конечно, сойдет.

     
     
  • 3.18, Drew (??), 14:48, 12/03/2019 [^] [ответить]     [к модератору]  
  • +/
    Да, вообще-то, мне бы не хотелось видеть не-EV-сертификат у банка Ну а так -... весь текст скрыт [показать]
     
     
  • 4.22, Tita_M (ok), 15:07, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Вот где-то неделю-две назад видел сертификат от Let's Encrypt на вредоносном домене так что не только для бложегов.
     
     
  • 5.25, Kuromi (ok), 17:59, 12/03/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    А уже довольно давно вредоносные сайты массово используют LE сертификаты для соз... весь текст скрыт [показать]
     
     
  • 6.29, Онанёр (?), 19:06, 12/03/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    "Представители и евангелисты LE в свою очередь на это отвечают, что HTTPS это в первую очередь технология защиты соединения от подсматривания и  перехвата, а не "защита клиента от скама"."
    А это не так?
     
     
  • 7.33, Kuromi (ok), 22:36, 12/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Это-то так, но у "массовой публики" за годы сложилось иное мнение, мол сертификат = неанонимный проверенный сайт уважаемой компании, чем некоторые скаммерсанты и пользуются.
     
     
  • 8.34, епваывпв (?), 23:08, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Для массовой публики сертификат - то, что дарят на День рожденья. Тот факт, что некоторые браузеры подсвечивают сайты зелененьким, - рассматривать это, как недостаток бесплатных сертификатов от LE - нужно иметь очень богатое воображение.
     
     
  • 9.35, Онаним (?), 00:12, 13/03/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    LE неплохо бы подсвечивать жёлтеньким. А лучше - красненьким.
     
     
  • 10.37, Kuromi (ok), 00:41, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > LE неплохо бы подсвечивать жёлтеньким. А лучше - красненьким.

    Лучше всего было делать как когда в Firefox тестировали Opportunistic Security - сайт никак не подсвечивается, но соединение зашифровано самописным сертификатом.

     
  • 9.36, Kuromi (ok), 00:38, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Плохой подарок на днюху - сертификат. Правильные друзья дарят либо деньги либо то что течет и горит (ну так утверждают).
     
     
  • 10.43, True anon (?), 08:53, 13/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Зачем мне бензин, если у меня нету авто? Ну таких друзей
     
  • 10.50, Аноним (47), 10:55, 13/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Хороший друг подарит полезную лично тебе книгу. Деньгами и спиртным от тебя откупаются, чтобы не заморачиваться.
     
  • 6.42, Dmitry77 (ok), 07:38, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Это да, а то  задолбали рекламой открытые wifi точки..
     
  • 4.26, Kuromi (ok), 18:02, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    В принипе так и должно быть, сурьезный бизнес платит серьезные деньги за получение расширенных сертификатов, а если задача просто сделать HTTPS то хватит и LE. Другой вопрос что неоднократно уже выяснялось, что "серьезные дяди" порой выдавали расширенные сертификаты непойми кому не делая никаких проверок либо делая их крайне формально.
     
  • 3.19, Аноним (8), 14:48, 12/03/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    https brand santander com en ... весь текст скрыт [показать]
     
  • 3.39, Ключевский (?), 04:16, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Ты вот сюда https://www.sberbank.ru/ не ходи, а то там обычный DV-сертификат, а не EV :-D
     
     
  • 4.44, Аноним (15), 09:02, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Сбербанк АСТ до сих пор требует Internet Explorer для подачи заявки.
    Вчера мучался.
     
  • 3.45, mumu (ok), 09:27, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    И работать этот банк конечно тоже должен по какому-нибудь сурьёзному платному протоколу. Бесплатный Http(s) только для бложиков
     
  • 2.49, Аноним (47), 10:53, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Это у тебя из-за возраста. Лет через 30 возможно дойдёт, что это единственное, чем теперь занимается человечество.
     
  • 1.23, Аноним (23), 15:20, 12/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > TLS-SNI-02

    А чем вторая версия отличается от первой?

     
     
  • 2.28, zanswer CCNA RS and S (?), 18:53, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Его в RFC 8555 вообще нет:

    The values "tls-sni-01" and "tls-sni-02" are reserved because they were used in pre-RFC versions of this specification to denote validation methods that were removed because they were found not to be secure in some cases.

     
     
  • 3.30, Аноним (23), 19:50, 12/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > и предлагающий новый метод проверки владения доменом TLS-SNI-02 (не вошёл в RFC).

    тогда как понять что изменилось?

     
     
  • 4.40, zanswer CCNA RS and S (?), 07:06, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Хороший вопрос, могу предположить только, что возможно речь идёт о вот этом Draft: draft-ietf-tls-esni-03: Encrypted Server Name Indication for TLS 1.3, но не утверждаю.
     
     
  • 5.41, zanswer CCNA RS and S (?), 07:21, 13/03/2019 [^] [ответить]     [к модератору]  
  • +/
    Я был не прав, речь не об этом, а вот об этом draft-ietf-acme-acme-01 Automati... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor