Среда автоматического управления сертификатами

Логотип АКМЕ

Протокол среды автоматического управления сертификатами ( ACME ) — это протокол связи для автоматизации взаимодействия между центрами сертификации и серверами их пользователей, позволяющий автоматически развертывать инфраструктуру открытых ключей с очень низкими затратами. ^{[ 1 ]}^{[ 2 ]} Он был разработан Группой исследований интернет-безопасности (ISRG) для их Let's Encrypt . сервиса ^{[ 1 ]}

Протокол, основанный на передаче JSON сообщений в формате через HTTPS , ^{[ 2 ]}^{[ 3 ]} был опубликован как Интернет-стандарт в RFC 8555 ^{[ 4 ]} собственной уставной рабочей группой IETF . ^{[ 5 ]}

Клиентские реализации

ISRG предоставляет бесплатные эталонные реализации с открытым исходным кодом для ACME: certbot — это основанная на Python реализация программного обеспечения для управления сертификатами серверов с использованием протокола ACME, ^{[ 6 ]}^{[ 7 ]}^{[ 8 ]} а boulder — это реализация центра сертификации , написанная на Go . ^{[ 9 ]}

С 2015 года появилось большое разнообразие клиентских вариантов для всех операционных систем. ^{[ 10 ]}

Версии API

API версии 1

Спецификация API v1 была опубликована 12 апреля 2016 года. Она поддерживает выдачу сертификатов для полных доменных имен, таких как example.com или cluster.example.com, но не подстановочные знаки, такие как *.example.com. Let's Encrypt отключил поддержку API v1 1 июня 2021 года. ^{[ 11 ]}

API версии 2

API v2 был выпущен 13 марта 2018 года после нескольких переносов. ACME v2 не имеет обратной совместимости с v1. Версия 2 поддерживает домены с подстановочными знаками, такие как *.example.com, что позволяет многим поддоменам иметь доверенный TLS , например https://cluster01.example.com, https://cluster02.example.com, https://example.com, в частных сетях в одном домене с использованием одного общего сертификата с подстановочным знаком. ^{[ 12 ]} Основным новым требованием версии 2 является то, что запросы на подстановочные сертификаты требуют изменения записи TXT службы доменных имен , подтверждающей контроль над доменом.

Изменения в протоколе ACME v2 по сравнению с версией v1 включают: ^{[ 13 ]}

Порядок авторизации/выдачи изменился.
Авторизация запроса JWS изменилась
Поле «ресурс» в телах запросов JWS заменяется новым заголовком JWS: «url».
Переименование конечной точки/ресурса каталога
URI → Переименование URL в ресурсах конкурса
Создание учетной записи и соглашение ToS объединены в один шаг. Раньше это было два шага.
Был реализован новый тип запроса TLS-ALPN-01. Два более ранних типа запросов, TLS-SNI-01 и TLS-SNI-02, были удалены из-за проблем безопасности. ^{[ 14 ]}^{[ 15 ]}

См. также

Simple Certificate Enrollment Protocol — предыдущая попытка создания протокола автоматического развертывания сертификатов.

Ссылки

^ Jump up to: ^а ^б Стивен Дж. Воан-Николс (9 апреля 2015 г.). «Защита Интернета раз и навсегда: проект Let’s Encrypt» . ЗДНет .
^ Jump up to: ^а ^б "ietf-wg-acme/acme-spec" . Гитхаб . Проверено 05 апреля 2017 г.
^ Крис Брук (18 ноября 2014 г.). «EFF и другие планируют упростить шифрование в Интернете в 2015 году» . ThreatPost.
^ Барнс, Р.; Хоффман-Эндрюс, Дж.; Маккарни, Д.; Кастен, Дж. (12 марта 2019 г.). Среда автоматического управления сертификатами (ACME) . IETF . дои : 10.17487/RFC8555 . RFC 8555 . Проверено 13 марта 2019 г.
^ «Автоматизированная среда управления сертификатами (acme)» . Трекер данных IETF . Проверено 12 марта 2019 г.
^ «Сертбот» . ЭФФ . Проверено 14 августа 2016 г.
^ «сертбот/сертбот» . Гитхаб . Проверено 2 июня 2016 г.
^ «Анонсируем Certbot: клиент EFF для Let's Encrypt» . ЛВН . 13 мая 2016 г. Проверено 2 июня 2016 г.
^ «letencrypt/валун» . Гитхаб . Проверено 22 июня 2015 г.
^ «Реализация клиента ACME — Давайте зашифруем — Бесплатные сертификаты SSL/TLS» . letsencrypt.org .
^ «План прекращения поддержки ACMEv1 — объявления API» . Поддержка сообщества Let's Encrypt . 05 мая 2021 г. Проверено 12 июня 2021 г.
^ «Конечная точка API ACME v2 появится в январе 2018 г. — Давайте зашифруем — бесплатные сертификаты SSL/TLS» . letsencrypt.org .
^ «Промежуточная конечная точка для ACME v2» . Поддержка сообщества Let's Encrypt . 5 января 2018 г.
^ «Типы задач — зашифруем документацию» . Давайте зашифруем . 08.12.2020 . Проверено 12 мая 2021 г.
^ Барнс, Р.; Хоффман-Эндрюс, Дж.; Маккарни, Д.; Кастен, Дж. (12 марта 2019 г.). Среда автоматического управления сертификатами (ACME) . IETF . дои : 10.17487/RFC8555 . RFC 8555 . Проверено 12 мая 2021 г. Значения «tls-sni-01» и «tls-sni-02» зарезервированы, поскольку они использовались в версиях этой спецификации до RFC для обозначения методов проверки, которые были удалены, поскольку в некоторых случаях было обнаружено, что они небезопасны.

Внешние ссылки

Барнс, Ричард; Хоффман-Эндрюс, Джейкоб; Кастен, Джеймс. «Среда автоматического управления сертификатами (ACME)» . IETF.
Список клиентов ACME на Let's Encrypt
Список часто используемых клиентов ACME на сайте acmeclients.com

[zdnet-1] Jump up to: ^а ^б Стивен Дж. Воан-Николс (9 апреля 2015 г.). «Защита Интернета раз и навсегда: проект Let’s Encrypt» . ЗДНет .

[acme-spec-2] Jump up to: ^а ^б "ietf-wg-acme/acme-spec" . Гитхаб . Проверено 05 апреля 2017 г.

[3] Крис Брук (18 ноября 2014 г.). «EFF и другие планируют упростить шифрование в Интернете в 2015 году» . ThreatPost.

[4] Барнс, Р.; Хоффман-Эндрюс, Дж.; Маккарни, Д.; Кастен, Дж. (12 марта 2019 г.). Среда автоматического управления сертификатами (ACME) . IETF . дои : 10.17487/RFC8555 . RFC 8555 . Проверено 13 марта 2019 г.

[5] «Автоматизированная среда управления сертификатами (acme)» . Трекер данных IETF . Проверено 12 марта 2019 г.

[6] «Сертбот» . ЭФФ . Проверено 14 августа 2016 г.

[7] «сертбот/сертбот» . Гитхаб . Проверено 2 июня 2016 г.

[8] «Анонсируем Certbot: клиент EFF для Let's Encrypt» . ЛВН . 13 мая 2016 г. Проверено 2 июня 2016 г.

[9] «letencrypt/валун» . Гитхаб . Проверено 22 июня 2015 г.

[ClientOptions-10] «Реализация клиента ACME — Давайте зашифруем — Бесплатные сертификаты SSL/TLS» . letsencrypt.org .

[acmev1-eol-11] «План прекращения поддержки ACMEv1 — объявления API» . Поддержка сообщества Let's Encrypt . 05 мая 2021 г. Проверено 12 июня 2021 г.

[12] «Конечная точка API ACME v2 появится в январе 2018 г. — Давайте зашифруем — бесплатные сертификаты SSL/TLS» . letsencrypt.org .

[13] «Промежуточная конечная точка для ACME v2» . Поддержка сообщества Let's Encrypt . 5 января 2018 г.

[14] «Типы задач — зашифруем документацию» . Давайте зашифруем . 08.12.2020 . Проверено 12 мая 2021 г.

[15] Барнс, Р.; Хоффман-Эндрюс, Дж.; Маккарни, Д.; Кастен, Дж. (12 марта 2019 г.). Среда автоматического управления сертификатами (ACME) . IETF . дои : 10.17487/RFC8555 . RFC 8555 . Проверено 12 мая 2021 г. Значения «tls-sni-01» и «tls-sni-02» зарезервированы, поскольку они использовались в версиях этой спецификации до RFC для обозначения методов проверки, которые были удалены, поскольку в некоторых случаях было обнаружено, что они небезопасны.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]