Protocol simple d'inscripció de certificats
El protocol d'inscripció simple de certificats (SCEP) es descriu a la informació RFC 8894. Les versions anteriors d'aquest protocol es van convertir en un estàndard industrial de facto per al subministrament pragmàtic de certificats digitals principalment per a equips de xarxa.[1]
El protocol s'ha dissenyat perquè la sol·licitud i emissió de certificats digitals sigui el més senzill possible per a qualsevol usuari estàndard de la xarxa. Aquests processos solen requerir una aportació intensiva dels administradors de xarxa i, per tant, no s'han adaptat a desplegaments a gran escala.[2]
Popularitat
[modifica]El protocol simple d'inscripció de certificats segueix sent el protocol d'inscripció de certificats més popular i disponible, ja que és utilitzat per nombrosos fabricants d'equips de xarxa i programari que estan desenvolupant mitjans simplificats per gestionar els certificats per a la implementació a gran escala per als usuaris quotidians. S'utilitza, per exemple, pel sistema operatiu Cisco IOS (encara que ara Cisco està impulsant l'EST una mica més destacat) i els iPhones per registrar-se en PKI empresarials. La majoria del programari PKI (específicament les implementacions de RA) ho admet, inclòs el servei d'inscripció de dispositius de xarxa (NDES) del servei de certificats d' Active Directory i Intune.[3]
- Les versions heretades de SCEP, que encara s'utilitzen en la gran majoria de les implementacions, es limiten a registrar certificats només per a les claus RSA.
- A causa de l'ús del format PKCS#10 autofirmat per a les sol·licituds de signatura de certificats (CSR), els certificats només es poden registrar per a les claus que admetin la signatura. Una limitació compartida per altres protocols d'inscripció basats en CSR PKCS#10, per exemple, EST i ACME, o fins i tot el flux de treball d'inscripció basat en web de la majoria del programari PKI on el sol·licitant comença generant un parell de claus i un CSR en format PKCS#10. El format CRMF, tal com l'utilitzen CMP i CMS, és més flexible aquí, ja que també admet claus que només es poden utilitzar per a l'encriptació o l'acord de clau. Tanmateix, aquesta distinció és majoritàriament teòrica, ja que a la pràctica tots els algorismes que s'utilitzen habitualment amb els certificats admeten la signatura. Per exemple, ACME, que també utilitza PKCS#10, emet certificats TLS que, per definició, han de ser capaços de signar per a l'enllaç TLS.
- Tot i que la prova d'origen de les sol·licituds d'inscripció de certificats, és a dir, l'autenticació del sol·licitant del certificat, és el requisit de seguretat més crític, per raons pragmàtiques el seu suport no és estrictament necessari dins de SCEP. L'autenticació de client basada en signatura mitjançant un certificat ja existent seria el mecanisme preferit, però en molts casos d'ús no és possible o no és compatible amb els desplegaments donats. Com a alternativa, SCEP només proporciona l'ús d'un secret compartit, que hauria de ser específic del client i utilitzar-lo només una vegada.
- La confidencialitat del secret compartit utilitzat opcionalment per a l'autenticació d'origen és fràgil perquè s'ha d'incloure al camp "challengePassword" del CSR, que després està protegit per un xifratge extern. Hauria estat més segur utilitzar un algorisme MAC basat en contrasenyes com HMAC.
- Xifrar tota l'estructura PKCS#10 per protegir el camp "challengePassword" (que s'utilitza per a l'autenticació de font autònoma) té un altre inconvenient: tot el CSR es fa il·legible per a totes les parts excepte el receptor final previst (la CA), encara que la majoria del seu contingut no és confidencial. Així, l'estructura PKCS#10 no es pot comprovar per agents intermedis com ara un RA.
Història
[modifica]SCEP va ser dissenyat per Verisign per a Cisco com una alternativa senzilla a la gestió de certificats sobre CMS (CMC) i al molt potent però també força voluminós Protocol de gestió de certificats (CMP). Va tenir suport de Microsoft a principis amb la seva inclusió contínua a Windows a partir de Windows 2000. Al voltant del 2010, Cisco va suspendre el treball a SCEP i va desenvolupar EST. El 2015, Peter Gutmann va reviure l' Internet Draft a causa de l'ús generalitzat de SCEP a la indústria i en altres estàndards. Va actualitzar l'esborrany amb algorismes més moderns i va corregir nombrosos problemes a l'especificació original. El setembre de 2020, l'esborrany es va publicar com a informació RFC 8894, més de vint anys després de l'inici de l'esforç de normalització. La nova versió també admet la inscripció de certificats no RSA (per exemple, per a les claus públiques ECC).
Referències
[modifica]- ↑ «Simple Certificate Enrollment Protocol Overview» (en anglès). [Consulta: 27 desembre 2023].
- ↑ Metzler, Sam. «Simple Certificate Enrollment Protocol (SCEP): Explained» (en anglès americà), 08-11-2023. [Consulta: 27 desembre 2023].
- ↑ lenewsad. «Configure infrastructure to support SCEP certificate profiles with Microsoft Intune» (en anglès americà), 26-06-2023. [Consulta: 27 desembre 2023].
- ↑ «What Is SCEP? Simple Certificate Enrollment Protocol» (en anglès americà). [Consulta: 27 desembre 2023].