Którego typu wyzwania ACME powinienem użyć? HTTP-01 czy DNS-01?

Kiedy używasz Protokół ACME aby zamówić certyfikaty w witrynie SSL.com, potwierdzamy kontrolę nad nazwami domen w żądaniu certyfikatu za pomocą „wyzwania”, które będzie wymagało dokonania weryfikowalnej zmiany w witrynie lub w rekordach DNS. W tym artykule omówiono zalety i wady związane z typami wyzwań obsługiwanymi przez SSL.com: HTTP-01 i DNS-01.

Wyzwanie HTTP-01

Wyzwanie HTTP-01 wymaga od Ciebie lub Twojego klienta ACME utworzenia pliku zawierającego losowy token i odcisk palca klucza Twojego konta na serwerze sieciowym, udowadniając CA kontrolę nad witryną. Wyzwanie określa zarówno zawartość pliku, jak i adres URL, pod którym powinien zostać utworzony (który zawsze będzie poprzedzony przedrostkiem .well-known/acme-challenge/, po którym następuje wartość tokenu). Przykładowe ręczne wyzwanie HTTP-01 dla example.com pokazano poniżej:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Utwórz plik zawierający tylko te dane: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI I udostępnij na swoim serwerze internetowym pod tym adresem URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Naciśnij Enter, aby kontynuować

Zalety i wady HTTP-01

HTTP-01 jest najczęściej używanym typem wyzwania ACME i SSL.com zaleca go większości użytkowników. Jego głównymi zaletami są łatwość automatyzacji dla popularnych platform serwerów WWW, takich jak Apache i Nginxoraz brak konieczności konfigurowania rekordów DNS i czekania na ich propagację. Jest jednak kilka ograniczeń, o których powinieneś wiedzieć przed użyciem HTTP-01:

  • Wyzwanie HTTP-01 działa tylko przez port 80, więc nie można go używać, jeśli ten port jest zablokowany na serwerze sieciowym.
  • Jeśli istnieje wiele serwerów dla nazwy domeny, plik wezwania HTTP-01 należy umieścić na wszystkich z nich.

Wyzwanie DNS-01

Wyzwanie DNS-01 wymaga utworzenia rekordu DNS TXT dla swojej domeny, zawierającego losowy token i odcisk palca klucza konta, pod adresem _acme-challenge.<YOUR_DOMAIN>. Serwer ACME SSL.com zapyta DNS o ten rekord i wyda certyfikat, jeśli znajdzie dopasowanie. To jest przykład ręcznego wyzwania DNS-01 dla example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Wdróż rekord DNS TXT pod nazwą _acme -challenge.example.com z następującą wartością: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Przed kontynuowaniem sprawdź, czy rekord został wdrożony. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Naciśnij Enter, aby kontynuować

Zalety i wady DNS-01

Wyzwanie DNS-01 jest trudniejsze do zautomatyzowania niż HTTP-01, co wymaga od dostawcy DNS dostarczenia interfejsu API do zarządzania rekordami DNS. W takim przypadku będziesz również musiał poradzić sobie z potencjalnym zagrożeniem bezpieczeństwa związanym z przechowywaniem poświadczeń interfejsu API DNS na serwerze internetowym. W przypadku wyzwania DNS-01 będziesz musiał również sprawdzić propagację swojego rekordu lub skonfigurować opóźnienie w kliencie ACME po utworzeniu rekordu. Jest jednak kilka okoliczności, w których możesz wybrać DNS-01 zamiast HTTP-01:

  • Jeśli Twoja domena ma więcej niż jeden serwer WWW, nie będziesz musiał zarządzać plikami wyzwań na wielu serwerach.
  • DNS-01 może być używany, nawet jeśli port 80 jest zablokowany na Twoim serwerze internetowym.

Zauważ, że w przypadku niektórych żądań certyfikatów (takich jak wpis wieloznaczny wraz z nazwą domeny podstawowej) może być konieczne utworzenie wielu rekordów TXT o tej samej nazwie. Jest to w porządku, ale należy wyczyścić stare rekordy TXT z poprzednich wyzwań, aby rozmiar odpowiedzi DNS nie był zbyt duży, aby serwer mógł go zaakceptować.

SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.

PORÓWNAJ SSL /TLS CERTYFIKATY

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.