Ce lecții am învățat din testarea Cisco EST Implementations cu Entrust Datacard
2 min read
Certificatele sunt utilizate de foarte mult timp pentru autentificarea dispozitivelor și utilizatorilor. Recent, Internet Engineering Task Force (IETF) a introdus un protocol nou, Enrollment over Secure Transport (EST) pentru a furniza aceste certificate.
EST este un standard (RFC7030) conceput să îmbunătățească furnizarea și gestionarea certificatelor digitale. Pentru a înțelege mai bine cum funcționează EST, să luăm un exemplu clasic: un controller, cum ar fi un punct de acces Wi-FI, gestionează un endpoint. Pentru a securiza comunicarea, atât controller-ul, cât și endpoint-ul se autentifică reciproc folosind certificate. Așadar, EST reprezintă o nouă modalitate de a obține acele certificate, fiind mai sigură decât abordările anterioare, cum ar fi Secure Certificate Enrollment Protocol (SCEP). După cum probabil știți, SCEP a fost susținut inițial de Cisco, datorită simplității sale, SCEP fiind protocolul de facto în furnizarea certificatelor timp de mulți ani.
EST este succesorul SCEP, iar noi credem că va fi protocolul ales pentru administrarea certificatelor în industriile care au nevoie de o modalitate mai flexibilă și mai sigură de înregistrare a certificatelor.
Unele dintre produsele noastre sunt compatibile deja cu EST pentru certificatele digitale (de exemplu, Cisco IOS și IOS-XE), însă endpoint-urile EST nu funcționează de la sine. EST include un certificat de consumator și un certificat de furnizor, intitulat Certificate Authority (CA). Așadar, trebuie să ne asigurăm că soluțiile noastre EST sunt compatibile cu terțe părți, cum ar fi CA, serverele de autentificare și endpoint-urile.
Pentru a realiza acest lucru, Cisco a colaborat cu Entrust Datacard, pentru a se asigura că implementările Cisco EST sunt interoperabile cu CA. Colaborarea dintre Cisco și Entrust Datacard a început în 2015, iar în urma testelor efectuate, am ajuns la câteva concluzii relevante. Obiectivul nostru a fost să realizăm interoperabilitatea între funcționalitatea Cisco EST, care este încorporată în produsele noastre și serverul Entrust Datacard EST. De-a lungul procesului, a fost nevoie să remediem câteva probleme și bug-uri care împiedicau codul nostru să finalizeze în siguranță operațiunile EST. Lecții învățate:
- Uneori, limbajul utilizat în standarde poate fi interpretat diferit de implementatori. Un limbaj clar, fără ambiguități în specificațiile standardelor este imperativ.
- Dependențele inerente de biblioteci și design ar putea afecta modul în care sunt implementate noile protocoale și pot genera provocări în urmărirea specificației exacte a standardului.
Operațiunile EST pe care le-am testat inițial au fost /cacerts, /csrattrs, /simpleenroll și /simplereenroll. După prima etapă de testare, am putut confirma că:
- Produsele Cisco IOS și IOS-XE necesită îmbunătățiri ale funcționalităților, pentru a realiza cu succes interoperabilitatea cu Entrust Datacard CA. Produsele Cisco care oferă funcționalitatea Registration Authority permit produselor Cisco IOS și IOS-XE să comunice cu succes cu Entrust Datacard CA, utilizând EST.
- libEST este interoperabil în totalitate cu Entrust Datacard CA.
- Bibliotecile Cisco EST (la fel ca în cazul libEST) sunt interoperabile în totalitate cu Entrust Datacard CA.
Așteptăm cu nerăbdare continuarea colaborării cu Entrust Datacard și restul industriei pentru a realiza un PKI mai sigur și mai flexibil în viitor.