Автоматизированная среда управления сертификатами - Automated Certificate Management Environment

Логотип ACME

В Среда автоматического управления сертификатами (ACME) протокол является протокол связи для автоматизации взаимодействия между центры сертификации и веб-серверы их пользователей, что позволяет автоматизировать развертывание инфраструктура открытого ключа по очень низкой цене.[1][2] Он был разработан Группа исследований интернет-безопасности (ISRG) для своих Давайте зашифровать служба.[1]

Протокол, основанный на прохождении JSON -форматированные сообщения закончились HTTPS,[2][3] был опубликован как Интернет Стандарт в RFC 8555[4] по собственному желанию IETF рабочая группа.[5]

Реализации

ISRG предоставляет бесплатно и с открытым исходным кодом эталонные реализации для ACME: Certbot это Python -внедрение ПО управления сертификатами серверов по протоколу ACME,[6][7][8] и валун это центр сертификации реализация, написанная на Идти.[9] В сентябре 2019 года Smallstep представила поддержку ACME для своего центра сертификации. step-ca.[10] В декабре 2015 года веб-сервер Кэдди получил встроенную поддержку автоматической выдачи и обновления сертификатов с использованием протокола ACME,[11] который с тех пор был преобразован в библиотеку Go под названием CertMagic.[12] В октябре 2017 года Let's Encrypt анонсировала аналогичные встроенные функции (через модуль) для Apache httpd.[13]С тех пор появилось большое количество клиентских опций.[14]

Версии API

API версии 1

API v1 был выпущен 12 апреля 2016 года. Он поддерживает выдачу сертификатов для отдельных доменов, таких как example.com или cluster.example.com. Let's Encrypt предлагает пользователям как можно скорее перейти на версию 2, так как поддержка версии 1 прекращается. Многие клиенты ACME уже поддерживали версию 2 перед ее выпуском.[14]

API версии 2

API v2 был выпущен 13 марта 2018 г. после того, как его несколько раз откладывали. ACME v2 не имеет обратной совместимости с v1. Версия 2 поддерживает домены с подстановочными знаками, такие как * .example.com, что позволяет многим субдоменам иметь доверенный SSL, например https://cluster01.example.com, https://cluster02.example.com, https://example.com, в частных сетях в одном домене с использованием единого общего «подстановочного» сертификата.[15] Основным новым требованием в версии 2 является то, что запросы на сертификаты с подстановочными знаками требуют модификации записи «TXT» службы доменных имен, подтверждающей контроль над доменом.

Изменения в протоколе ACME v2 начиная с версии 1 включают:[16]

  1. Процесс авторизации / выдачи изменился.
  2. Изменилась авторизация запроса JWS.
  3. Поле «ресурс» в теле запроса JWS заменяется новым заголовком JWS: «url».
  4. Переименование конечной точки каталога / ресурса.
  5. URI -> переименование URL в ресурсах задачи.
  6. Создание учетной записи и соглашение ToS - это один шаг вместо двух.
  7. Появился новый тип запроса, TLS-SNI-02, а TLS-SNI-01 был удален. TLS-SNI-02 больше не поддерживается, поскольку имеет те же проблемы безопасности, что и TLS-SNI-01, поэтому был представлен TLS-ALPN-01.

Смотрите также

Рекомендации

  1. ^ а б Стивен Дж. Воан-Николс (9 апреля 2015 г.). «Защита Интернета раз и навсегда: проект Let's Encrypt». ZDNet.
  2. ^ а б "ietf-wg-acme / acme-spec". GitHub. Получено 2017-04-05.
  3. ^ Крис Брук (18 ноября 2014 г.). «EFF, другие планируют упростить шифрование Интернета в 2015 году». ThreatPost.
  4. ^ Barnes, R .; Hoffman-Andrews, J .; McCarney, D .; Кастен, Дж. (12 марта 2019 г.). Среда автоматического управления сертификатами (ACME). IETF. Дои:10.17487 / RFC8555. RFC 8555. Получено 2019-03-13.
  5. ^ «Автоматизированная среда управления сертификатами (acme)». IETF Datatracker. Получено 2019-03-12.
  6. ^ "Certbot". EFF. Получено 2016-08-14.
  7. ^ "certbot / certbot". GitHub. Получено 2016-06-02.
  8. ^ «Представляем Certbot: клиент EFF для Let's Encrypt». LWN. 2016-05-13. Получено 2016-06-02.
  9. ^ "letsencrypt / boulder". GitHub. Получено 2015-06-22.
  10. ^ "Запустите свой собственный частный сервер CA и ACME, используя step-ca". 2019-09-17. Получено 2020-02-21.
  11. ^ «Caddy 0.8 выпущен с интеграцией Let's Encrypt». 4 декабря 2015 г.. Получено 7 августа, 2016.
  12. ^ Холт, Мэтт (2018-12-19), Автоматический HTTPS для любой программы Go: полностью управляемая выдача и продление сертификата TLS: mholt / certmagic, получено 2018-12-19
  13. ^ Аас, Джош (2017-10-17). «Поддержка ACME в проекте HTTP-сервера Apache». Давайте зашифровать.
  14. ^ а б «Реализации клиентов ACME - Let's Encrypt - Бесплатные сертификаты SSL / TLS». letsencrypt.org.
  15. ^ «Конечная точка API ACME v2 появится в январе 2018 г. - Let's Encrypt - Бесплатные сертификаты SSL / TLS». letsencrypt.org.
  16. ^ «Промежуточная конечная точка для ACME v2». Поддержка сообщества Let's Encrypt. 5 января 2018.

внешняя ссылка