Anchor Relay บริการใหม่ที่สัญญาว่าจะทำให้การจัดการใบรับรอง HTTPS ง่ายขึ้นสำหรับสภาพแวดล้อม homelab และ IoT ได้จุดประกายการถกเถียงอย่างเข้มข้นในชุมชนเทคโนโลยีเกี่ยวกับความไว้วางใจ ความปลอดภัย และการแลกเปลี่ยนของการมอบหมายการจัดการใบรับรองให้กับบุคคลที่สาม
บริการนี้ซึ่งอยู่ในช่วงเบต้าในขณะนี้ วางตำแหน่งตัวเองเป็นโซลูชันสำหรับผู้ใช้ที่ต้องการใบรับรอง Let's Encrypt โดยไม่ต้องเปิดพอร์ต 80 หรือจัดการข้อมูลประจำตัว DNS API โดยตรง บริการทำงานโดยทำหน้าที่เป็น ACME API proxy และจัดการ DNS delegation สำหรับการท้าทายใบรับรอง โดยมุ่งเป้าไปที่สถานการณ์เช่นการรักษาความปลอดภัยเครื่องพิมพ์ อุปกรณ์ IoT และบริการเครือข่ายภายใน
คุณสมบัติหลักของ Anchor Relay :
- การทำหน้าที่เป็นตัวกลางสำหรับ ACME API เพื่อใบรับรอง Let's Encrypt
- การมอบหมาย DNS สำหรับ challenge records
- ไม่จำเป็นต้องเปิด port 80
- การเชื่อมต่อแบบ outbound เท่านั้น
- เข้ากันได้กับเครื่องมือที่มีอยู่ ( Certbot , Caddy , cert-manager )
- ใบรับรองมีอายุ 90 วัน (มาตรฐาน Let's Encrypt )
ความกังวลเรื่องความไว้วางใจและความปลอดภัยครองการถกเถียง
ประเด็นที่ถกเถียงกันมากที่สุดที่สมาชิกชุมชนยกขึ้นมาคือผลกระทบด้านความปลอดภัยพื้นฐานของการมอบหมายการจัดการใบรับรองให้กับบริการภายนอก นักวิจารณ์โต้แย้งว่าการมอบหมายการควบคุมการออกใบรับรองให้กับบุคคลที่สามนำความเสี่ยงที่ไม่จำเป็นมาสู่ระบบ โดยเฉพาะเมื่อโซลูชันที่มีอยู่แล้วเช่น Let's Encrypt ได้จัดเตรียมระบบอัตโนมัติใบรับรองที่แข็งแกร่งแล้ว
ความเป็นจริงทางเทคนิคคือ Anchor Relay ต้องการให้ผู้ใช้มอบหมาย DNS records ที่มีคำนำหน้า _acme-challenge. และถือ ACME account keys แทนผู้ใช้ แม้ว่าบริษัทจะอ้างว่าพวกเขาไม่เคยเห็น private keys ของผู้ใช้ แต่สมาชิกชุมชนก็ชี้ให้เห็นอย่างรวดเร็วว่าการถือ ACME account keys ยังคงให้ความสามารถในทางทฤษฎีในการออกใบรับรองสำหรับโดเมนของผู้ใช้ การป้องกันหลักต่อการใช้ในทางที่ผิดดูเหมือนจะเป็น Certificate Transparency logs ซึ่งจะทำให้การออกใบรับรองโดยไม่ได้รับอนุญาตใดๆ เป็นที่เห็นได้สาธารณะ
โซลูชันทางเลือกมีอยู่แล้ว
สมาชิกชุมชนหลายคนเน้นย้ำว่าปัญหาที่ Anchor Relay มุ่งแก้ไขนั้นมีโซลูชันที่มีอยู่แล้ว เครื่องมือเช่น Caddy สามารถจัดการระบบอัตโนมัติใบรับรองด้วยการกำหนดค่าขั้นต่ำ ในขณะที่ตัวเลือก self-hosted เช่น acme-dns ให้ฟังก์ชัน DNS delegation ที่คล้ายกันโดยไม่ต้องการความไว้วางใจในบุคคลที่สาม สำหรับผู้ใช้ที่สะดวกใจกับการดูแลเซิร์ฟเวอร์ขั้นพื้นฐาน การตั้งค่า certificate authority ของตัวเองสำหรับการใช้งานภายในยังคงเป็นตัวเลือกที่เป็นไปได้ซึ่งขจัดการพึ่งพาภายนอกทั้งหมด
การถกเถียงเผยให้เห็นความแตกแยกระหว่างผู้ใช้ที่ให้ความสำคัญกับความสะดวกและผู้ที่ต้องการรักษาการควบคุมเต็มรูปแบบเหนือโครงสร้างพื้นฐานความปลอดภัยของตนเอง บางคนโต้แย้งว่าบริการนี้เติมเต็มช่องว่างที่ถูกต้องตามกฎหมายสำหรับผู้ใช้ที่ผู้ให้บริการ DNS ขาดการสนับสนุน API หรือผู้ที่ต้องการหลีกเลี่ยงการกระจายข้อมูลประจำตัวไปยังหลายอุปกรณ์
ทางเลือกอื่นที่กล่าวถึง:
- Caddy: เว็บเซิร์ฟเวอร์ที่มีการจัดการใบรับรอง HTTPS อัตโนมัติ
- acme-dns: เซิร์ฟเวอร์ DNS แบบโฮสต์เองสำหรับ ACME DNS challenges
- mkcert: เครื่องมือสำหรับสร้างใบรับรองการพัฒนาที่เชื่อถือได้ในเครื่อง
- ใบรับรองที่ลงนามด้วยตนเอง: การตั้งค่า CA แบบกำหนดเองสำหรับเครือข่ายภายใน
- Let's Encrypt โดยตรง: การใช้ ACME clients อย่างเป็นทางการโดยไม่ผ่านตัวกลาง
บริบทที่กว้างขึ้นของการจัดการใบรับรอง
การถกเถียงสะท้อนถึงความท้าทายอย่างต่อเนื่องในการทำให้การสื่อสารที่ปลอดภัยเข้าถึงได้สำหรับผู้ใช้ที่ไม่ใช่ผู้เชี่ยวชาญ แม้ว่าเครื่องมือเช่น mkcert ได้ปรับปรุงประสบการณ์ของนักพัฒนาสำหรับการจัดการใบรับรองในเครื่อง แต่ประสบการณ์ผู้ใช้ของใบรับรองที่ลงนามด้วยตนเองยังคงมีปัญหาสำหรับแอปพลิเคชันจำนวนมาก สิ่งนี้สร้างโอกาสทางการตลาดสำหรับบริการที่สัญญาว่าจะเชื่อมช่องว่างระหว่างความปลอดภัยและการใช้งาน
อย่างไรก็ตาม ความรู้สึกของชุมชนแสดงให้เห็นว่าผู้ใช้ที่มีความรู้ทางเทคนิคจำนวนมากยังคงสงสัยในการเพิ่มชั้นความไว้วางใจอีกชั้นหนึ่งในสแต็กความปลอดภัยของตน หลักการที่ว่าผู้ใช้ควรรักษาการควบคุมเหนือโครงสร้างพื้นฐานการเข้ารหัสของตนดูเหมือนจะสะท้อนอย่างแรงกล้า แม้ว่าจะต้องใช้ความพยายามทางเทคนิคเพิ่มเติมก็ตาม
การถกเถียงรอบๆ Anchor Relay ในที่สุดเน้นย้ำถึงความตึงเครียดอย่างต่อเนื่องระหว่างความสะดวกและความปลอดภัยในการจัดการโครงสร้างพื้นฐานสมัยใหม่ แม้ว่าบริการนี้อาจพบผู้ฟังของตนในหมู่ผู้ใช้ที่แสวงหาเวิร์กโฟลว์ใบรับรองที่เรียบง่าย แต่การตอบสนองของชุมชนแสดงให้เห็นว่าความไว้วางใจในการจัดการใบรับรองของบุคคลที่สามยังคงเป็นอุปสรรคสำคัญสำหรับการยอมรับอย่างแพร่หลาย
อ้างอิง: Anchor Relay