记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

加密技术概览

2015-05-22 03:00

分享到:

Let’s Encrypt和ACME协议的目的是让人们简历一个HTTPS服务器,并让它在没有任何人工干预的情况下自动获得一个浏览器信任证书。这是通过在web服务器上运行一个证书管理代理实现的。

我们可以通过设置带有加密证书管理、设置Let’s Encrypt的 https://example.com/ 这个过程来了解这项技术的工作原理。

这个过程共有两步。第一步,代理向CA证明web服务器可以控制一个域。第二步,这个代理可以为这个域请求、更新、吊销证书。

域验证

Let’s Encrypt用公钥标志了服务器管理员。代理软件和Let’s Encrypt第一次交互时,会生成一个新的密钥对,向Let’s Encrypt证明CA可以控制一个或者多个域。这和传统的创建账户、为账户添加域的CA过程是一样的。

为了揭开这个过程,代理向Let’s Encrypt CA请求,证明它可以控制example.com需要做什么。Let’s Encrypt CA将会着眼于被请求的域名并发出一组或更多的挑战。有很多不同的方法让代理证明其可以控制域。例如,CA可能会给代理以下任意一个选择:

提供example.com的DNS记录,或者 

提供一个https://example.com/上知名的统一资源标识符下的HTTP资源。

http://p7.qhimg.com/t01ea74b18cde1373e1.png

Let’s Encrypt CA还会规定代理必须用自己的私钥对的签名来证明它可以控制密钥对。

代理软件完成提供的一系列挑战。我们才说它能够完成上面的第二个任务:它在https://example.com 网站的特定路径创建一个文件。该代理用自己的私钥在提供的nonce上签名。一旦代理已经完成了这个步骤,它就会通知CA它已经准备好完成验证了。

然后,CA的工作是检查所有的挑战都完成了。CA验证nonce上的签名,然后尝试从网络服务器上下载文件并确保文件包含期待的内容。

http://p9.qhimg.com/t018f819aa3ab379676.png

如果nonce上的签名是有效的,挑战完成,然后被公钥识别的代理被授权来为example.com颁发证书管理。我们请求密钥对代理为example.com使用被授权的密钥对。

证书的颁发和吊销

一旦代理有一个授权的密钥对,请求、更新和吊销证书都是很简单的——仅仅是发送证书管理消息并用授权的密钥对签名。

要为域获得证书,代理构建了一个PKCS#10证书签名请求,这个请求要求Let’s Encrypt CA为example.com颁发带有特定公钥的证书。CSR包含了和公钥相符的私钥的签名。该代理还用被授权的密钥为所有的CSR签名,这样Let’s Encrypt CA知道它是被授权的。

当Let’s Encrypt CA收到了请求,它会验证这两个签名。如果每个都是正确的,它就会用来自CSR的公钥为example.com颁发证书,然后把它返回给代理。

http://p3.qhimg.com/t01c65961d1e3300a0d.png

吊销工作也类似。该代理用被授权的密钥对为example.com签名一个吊销请求,然后Let’s Encrypt CA 验证授权请求。如果是这样,它发布撤销信息进入普通的撤销通道(比如,CRL、OCSP),从而依赖于这方的机构比如浏览器可以知道他们不接受已经被吊销的证书。

http://p8.qhimg.com/t01733edf00fb9ca1f9.png

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://letsencrypt.org/howitworks/technology/

知识来源: bobao.360.cn/learning/detail/411.html

阅读:96247 | 评论:0 | 标签:加密

想收藏或者和大家分享这篇好文章→复制链接地址

“加密技术概览”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词