Google自家的憑證頒發機構Google Trust Services,向所有Google雲端用戶,正式提供ACME(Automatic Certificate Management Environment)API,供用戶的網站能夠自動獲取和更新公開信任的TLS正數,透過使用ACME標準來自動化憑證生命周期。此外,Google Trust Services也提供ACME續訂資訊(ARI)和多視角網域驗證(Multi-Perspective Domain Validation,MPDV)兩個新功能,進一步強化憑證安全。

ACME是一種通訊協定,由網際網路工程任務組(IETF)制定,目的是要自動化數位憑證的管理過程,包括憑證的申請、驗證、發行,以及之後的更新。由於數位憑證可以確保網站身份,並保護網站和用戶間的資訊交換,是網路安全非常重要的一環。傳統憑證申請和管理過程複雜且費時,ACME解決了這些麻煩,並使過程能夠自動化,因此也減少了管理成本,以及因憑證過期所產生的安全風險。

Google現在釋出ACME API正式版,並且新增兩個能夠強化憑證生態系安全的的功能,包括ACME ARI和MPDV。ARI是一種新興標準,滿足了透過API在標準續定期之前,必須更換憑證的需求。ARI是由Let’s Encrypt所編寫的草案,作為ACME協定的擴充,協助服務營運商自動更換憑證,以應付過期之前就必須要撤回憑證的狀況。

而MPDV則能夠強化憑證頒發的驗證過程,像是Google Trust Services這類公開受信任的憑證頒發機構,會驗證請求者對網域的控制權,確保只有經授權的請求者,才能獲得頒發給特定網域的憑證,Google提到,雖然網域驗證在一般情況下,都能夠提供高強度的驗證,但是網域控制驗證方法容易受到DNS快取污染,和邊界閘道器協定劫持等攻擊。

透過MPDV,網域控制驗證就會從多個位置執行,防止駭客透過本地化攻擊欺騙驗證檢查,使用多個視角可以顯著提高驗證的可靠性。Let's Encrypt的服務會由三個不同的網路視角進行驗證,而Google表示,因為他們的基礎設施規模,能夠從成千上萬的出口點進行驗證,確保攻擊者不會因為控制夠多的目標導致驗證無效。

熱門新聞

Advertisement