Automatizované prostředí pro správu certifikátů - Automated Certificate Management Environment

Logo ACME

The Prostředí pro automatickou správu certifikátů (VRCHOL) protokol je a komunikační protokol pro automatizaci interakcí mezi certifikační autority a jejich uživatelské webové servery, což umožňuje automatické nasazení infrastruktura veřejného klíče za velmi nízkou cenu.[1][2] Byl navržen Výzkumná skupina pro internetovou bezpečnost (ISRG) pro jejich Pojďme šifrovat servis.[1]

Protokol, založený na předání JSON -formátované zprávy přes HTTPS,[2][3] byl publikován jako Internetový standard v RFC 8555[4] vlastním autorizovaným IETF pracovní skupina.[5]

Implementace

ISRG poskytuje zdarma a open-source referenční implementace pro ACME: certbot je Krajta - implementace softwaru pro správu certifikátů serveru pomocí protokolu ACME,[6][7][8] a balvan je certifikační autorita implementace, napsáno v Jít.[9] V září 2019 představil Smallstep podporu ACME pro svou certifikační autoritu krok-ca.[10] V prosinci 2015 webový server Caddy získala nativní podporu pro automatické vydávání a obnovu certifikátů pomocí protokolu ACME,[11] který se od té doby roztočil do knihovny Go s názvem CertMagic.[12] V říjnu 2017 společnost Let's Encrypt oznámila podobnou integrovanou funkčnost (prostřednictvím modulu) pro Apache httpd.[13]Od té doby se objevilo velké množství možností klienta.[14]

Verze API

API verze 1

API v1 bylo vydáno 12. dubna 2016. Podporuje vydávání certifikátů pro jednotlivé domény, například example.com nebo cluster.example.com. Pojďme Šifrovat navrhuje, aby uživatelé migrovali na verzi 2 co nejdříve, protože podpora podpory pro verzi 1 se plánuje být zastaralá. Mnoho klientů ACME již v2 před vydáním podporovalo.[14]

API verze 2

API v2 bylo vydáno 13. března 2018 poté, co bylo několikrát odsunuto. ACME v2 není zpětně kompatibilní s v1. Verze 2 podporuje domény se zástupnými znaky, například * .example.com, což umožňuje mnoha subdoménám mít důvěryhodný SSL, např. https://cluster01.example.com, https://cluster02.example.com, https://example.com, v soukromých sítích pod jednou doménou pomocí jediného sdíleného „zástupného“ certifikátu.[15] Hlavním novým požadavkem v2 je, že požadavky na certifikáty se zástupnými znaky vyžadují úpravu záznamu služby „Domain Name Service“ TXT, ověřující kontrolu nad doménou.

Změny protokolu ACME v2 od verze 1 zahrnují:[16]

  1. Tok autorizace / vystavování se změnil.
  2. Autorizace požadavku JWS se změnila.
  3. Pole „zdroj“ v tělech požadavků JWS je nahrazeno novou hlavičkou JWS: „url“.
  4. Přejmenování koncového bodu / zdroje adresáře.
  5. URI -> Přejmenování URL v prostředcích výzev.
  6. Vytvoření účtu a dohoda o podmínkách jsou jedním krokem místo dvou.
  7. Existuje nový typ výzvy, TLS-SNI-02 a TLS-SNI-01 byl odstraněn. TLS-SNI-02 již není podporován, protože má stejné bezpečnostní problémy, jaké měl TLS-SNI-01, proto byl zaveden TLS-ALPN-01.

Viz také

Reference

  1. ^ A b Steven J. Vaughan-Nichols (9. dubna 2015). „Zabezpečení webu jednou provždy: Projekt Pojďme zašifrovat“. ZDNet.
  2. ^ A b „ietf-wg-acme / acme-spec“. GitHub. Citováno 2017-04-05.
  3. ^ Chris Brook (18. listopadu 2014). „EFF, ostatní plánují v roce 2015 zjednodušit šifrování webu“. ThreatPost.
  4. ^ Barnes, R .; Hoffman-Andrews, J .; McCarney, D .; Kasten, J. (03.03.2019). Prostředí pro automatickou správu certifikátů (ACME). IETF. doi:10.17487 / RFC8555. RFC 8555. Citováno 2019-03-13.
  5. ^ „Automated Certificate Management Environment (acme)“. Datový sledovač IETF. Citováno 2019-03-12.
  6. ^ „Certbot“. EFF. Citováno 2016-08-14.
  7. ^ „certbot / certbot“. GitHub. Citováno 2016-06-02.
  8. ^ „Oznámení Certbot: Klient EFF pro šifrování“. LWN. 2016-05-13. Citováno 2016-06-02.
  9. ^ "letsencrypt / boulder". GitHub. Citováno 2015-06-22.
  10. ^ "Spusťte svůj vlastní soukromý server CA & ACME pomocí step-ca". 2019-09-17. Citováno 2020-02-21.
  11. ^ „Caddy 0.8 vydáno s integrací Let's Encrypt“. 4. prosince 2015. Citováno 7. srpna 2016.
  12. ^ Holt, Matt (19. 12. 2018), Automatické HTTPS pro jakýkoli program Go: plně spravované vydávání a obnovování certifikátů TLS: mholt / certmagic, vyvoláno 2018-12-19
  13. ^ Aas, Josh (2017-10-17). „Podpora ACME v projektu serveru Apache HTTP“. Pojďme šifrovat.
  14. ^ A b „Implementace klienta ACME - Pojďme šifrovat - bezplatné certifikáty SSL / TLS“. letsencrypt.org.
  15. ^ „Koncový bod API ACME v2 přichází v lednu 2018 - Pojďme šifrovat - certifikáty SSL / TLS zdarma“. letsencrypt.org.
  16. ^ „Koncový bod pro ACME v2“. Pojďme zašifrovat podporu komunity. 5. ledna 2018.

externí odkazy