NGINX giới thiệu hỗ trợ gốc cho giao thức ACME

• NGINX đã công bố bản preview hỗ trợ gốc giao thức ACME để tự động hóa việc cấp và gia hạn chứng chỉ SSL/TLS
• Thông qua mô-đun mới ngx_http_acme_module dựa trên Rust, giờ đây có thể yêu cầu, cài đặt và gia hạn chứng chỉ chỉ bằng cấu hình NGINX mà không cần công cụ bên ngoài
• Nhờ đó, giảm phụ thuộc vào các công cụ bên ngoài như Certbot, đồng thời tăng cường bảo mật và tính độc lập nền tảng
• Phiên bản đầu tiên hỗ trợ HTTP-01 challenge; hỗ trợ TLS-ALPN và DNS-01 được lên kế hoạch cho tương lai
• Hỗ trợ ACME được kỳ vọng sẽ đóng vai trò quan trọng trong việc tự động hóa bảo mật không chỉ trên web mà còn trong môi trường IoT và edge computing

Tổng quan và các thay đổi chính

• NGINX đã công bố bản preview của tính năng hỗ trợ giao thức ACME
• Thông qua mô-đun mới ngx_http_acme_module, NGINX được thiết kế để xử lý trực tiếp việc yêu cầu, cài đặt và gia hạn chứng chỉ ngay trong cấu hình
• Hỗ trợ ACME này sử dụng nội bộ NGINX-Rust SDK và được cung cấp dưới dạng mô-đun động dựa trên Rust
• Không chỉ người dùng mã nguồn mở mà cả khách hàng doanh nghiệp NGINX Plus đều có thể sử dụng tính năng này
• Bằng cách giảm phụ thuộc vào các công cụ bên ngoài như Certbot, tính bảo mật và hiệu quả của việc quản lý chứng chỉ được nâng cao

Giới thiệu về giao thức ACME

• Giao thức ACME (Automated Certificate Management Environment) là giao thức truyền thông tự động hóa việc cấp, xác minh, gia hạn và thu hồi chứng chỉ SSL/TLS
• Client có thể trực tiếp quản lý vòng đời chứng chỉ thông qua giao tiếp tự động với CA (Certificate Authority) mà không cần thao tác thủ công của bên trung gian
• Internet Security Research Group (ISRG) đã phát triển và công bố giao thức này vào năm 2015 thông qua dự án Let’s Encrypt
• Trước khi ACME xuất hiện, quá trình cấp chứng chỉ mang tính thủ công, tốn kém và dễ phát sinh lỗi
• ACMEv2 mới nhất bổ sung nhiều tính năng như phương thức xác thực và hỗ trợ wildcard, giúp tăng tính linh hoạt và bảo mật

Quy trình tự động hóa chứng chỉ dựa trên ACME của NGINX

• Việc tự động hóa vòng đời chứng chỉ bằng giao thức ACME trong NGINX diễn ra qua 4 bước sau

• 1. Cấu hình máy chủ ACME

  • Để kích hoạt tính năng ACME, bắt buộc phải chỉ định directory URL của máy chủ ACME bằng acme_issuer
  • Khi có sự cố phát hành chứng chỉ, cũng có thể tùy chọn chỉ định thông tin liên hệ client, đường dẫn lưu dữ liệu trạng thái, v.v.

• 2. Cấp phát bộ nhớ dùng chung (zone)

  • Có thể cấu hình thêm shared memory zone để lưu chứng chỉ, khóa riêng và dữ liệu challenge bằng acme_shared_zone
  • Kích thước mặc định là 256K và có thể mở rộng khi cần

• 3. Cấu hình challenge

  • Bản preview hiện tại chỉ hỗ trợ HTTP-01 challenge, được dùng để xác minh quyền sở hữu tên miền
  • Vì vậy, cần định nghĩa listener cổng 80 và cấu hình phản hồi 404 mặc định trong cấu hình NGINX
  • Trong tương lai sẽ hỗ trợ thêm TLS-ALPN, DNS-01 challenge

• 4. Cấp và gia hạn chứng chỉ

  • Nếu thêm directive acme_certificate vào server block, có thể tự động hóa việc cấp/gia hạn chứng chỉ TLS cho tên miền tương ứng
  • Tên miền mục tiêu cấp chứng chỉ thường được chỉ định bằng server_name
  • Biểu thức chính quy và wildcard trong server_name chưa được hỗ trợ ở bản preview
  • Thông qua các biến trong mô-đun $acme_certificate, $acme_certificate_key, chứng chỉ và khóa sẽ được liên kết tự động

Các ưu điểm chính

• Giao thức ACME là trung tâm của sự bùng nổ sử dụng HTTPS trên toàn cầu
• Tự động hóa quản lý chứng chỉ giúp giảm mạnh chi phí quản lý vòng đời chứng chỉ và lỗi do thao tác thủ công
• Loại bỏ công cụ bên ngoài giúp thu hẹp bề mặt tấn công và đảm bảo tính di động
• Thúc đẩy chuẩn hóa bảo mật trong nhiều môi trường khác nhau

Kế hoạch tiếp theo

• Dự kiến bổ sung hỗ trợ TLS-ALPN và DNS-01 challenge
• Mở rộng tính năng dựa trên phản hồi của người dùng
• Khi việc áp dụng IoT, API, edge computing tiếp tục mở rộng, ACME được kỳ vọng sẽ giữ vai trò then chốt trong hạ tầng bảo mật tự động hóa trên phạm vi rộng hơn trong tương lai
• Hỗ trợ ACME gốc của NGINX sẽ đóng vai trò nền tảng trong việc biến bảo mật web, tự động hóa và khả năng mở rộng thành tiêu chuẩn tương lai

Bắt đầu

• Người dùng mã nguồn mở có thể dùng mô-đun dựng sẵn tại NGINX Linux packages
• Khách hàng doanh nghiệp NGINX Plus được cung cấp dưới dạng mô-đun động có hỗ trợ từ F5
• Xem tài liệu mô-đun tại NGINX Docs