Let’s Encrypt

Publicado por Isac de Sousa em

O objetivo do Let’s Encrypt e o protocolo ACME é possibilitar a configuração de um servidor HTTPS e obter automaticamente um certificado confiável do navegador, sem nenhuma intervenção humana. Isso é realizado executando um agente de gerenciamento de certificados no servidor da web.

Para entender como a tecnologia funciona, vamos percorrer o processo de configuração https://example.com/com um agente de gerenciamento de certificados que suporte o Let’s Encrypt.

Existem duas etapas para esse processo. Primeiro, o agente prova para a CA que o servidor da web controla um domínio. Em seguida, o agente pode solicitar, renovar e revogar certificados para esse domínio.

Validação de Domínio

Vamos criptografar identifica o administrador do servidor por chave pública. Na primeira vez que o software do agente interage com o Let’s Encrypt, ele gera um novo par de chaves e prova para a autoridade de certificação Let’s Encrypt que o servidor controla um ou mais domínios. Isso é semelhante ao processo tradicional da CA de criar uma conta e adicionar domínios a essa conta.

Para iniciar o processo, o agente pergunta à autoridade de certificação Let’s Encrypt CA o que ele precisa fazer para provar que controla example.com. A autoridade de certificação Let’s Encrypt irá analisar o nome do domínio solicitado e emitir um ou mais conjuntos de desafios. Essas são maneiras diferentes pelas quais o agente pode provar o controle do domínio. Por exemplo, a CA pode dar ao agente uma opção de:

  • Provisionar um registro DNS em example.com, ou
  • Provisionar um recurso HTTP em um URI conhecido em http://example.com/

Juntamente com os desafios, a autoridade de certificação Let’s Encrypt também fornece um aviso de que o agente deve assinar com seu par de chaves privadas para provar que controla o par de chaves.

Solicitando desafios para validar example.com

O software do agente conclui um dos conjuntos de desafios fornecidos. Digamos que seja capaz de realizar a segunda tarefa acima: cria um arquivo em um caminho especificado no http://example.comsite. O agente também assina o nonce fornecido com sua chave privada. Depois que o agente conclui essas etapas, ele notifica a CA que está pronta para concluir a validação.

Então, o trabalho da CA é verificar se os desafios foram satisfeitos. A CA verifica a assinatura no nonce e tenta fazer o download do arquivo do servidor da Web e verificar se possui o conteúdo esperado.

Solicitando autorização para agir por exemplo.com

Se a assinatura pelo nonce for válida e os desafios forem confirmados, o agente identificado pela chave pública está autorizado a fazer o gerenciamento de certificados example.com. Chamamos o par de chaves para o qual o agente usou um “par de chaves autorizado” example.com.

Emissão e revogação de certificado

Depois que o agente tiver um par de chaves autorizado, solicitar, renovar e revogar certificados é simples – basta enviar mensagens de gerenciamento de certificado e assiná-las com o par de chaves autorizado.

Para obter um certificado para o domínio, o agente constrói uma Solicitação de Assinatura de Certificado PKCS # 10 que solicita à autoridade de certificação Vamos Criptografar que emita um certificado example.comcom uma chave pública especificada. Como de costume, o CSR inclui uma assinatura da chave privada correspondente à chave pública no CSR. O agente também assina todo o CSR com a chave autorizada, para example.comque a autoridade de certificação Let’s Encrypt saiba que está autorizada.

Quando a autoridade de certificação Let’s Encrypt criptografar recebe a solicitação, verifica as duas assinaturas. Se tudo parecer bom, ele emitirá um certificado example.comcom a chave pública do CSR e o retornará ao agente.

Solicitando um certificado para example.com

A revogação funciona de maneira semelhante. O agente assina uma solicitação de revogação com o par de chaves autorizado example.come a autoridade de certificação Vamos Criptografar verifica se a solicitação está autorizada. Nesse caso, ele publica informações de revogação nos canais normais de revogação (ou seja, OCSP), para que terceiros como navegadores possam saber que não devem aceitar o certificado revogado.
Fonte: https://letsencrypt.org/how-it-works/

Categorias: Utilizar

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

WhatsApp Olá! Em que posso ajudar?
× Como posso te ajudar?