ACME (Automated Certificate Management Environment)

botond küldte be 2018. 12. 04., k – 12:27 időpontban

Az ACME (Automated Certificate Management Environment), magyarul Automatizált Tanúsítványkezelési Környezet, egy kommunikációs protokoll a tanúsítványokat kibocsátó hatóságok (Certificate Authority-k) és a felhasználók webszerverei közötti műveletek automatizálására, lehetővé téve a nyilvános kulcsú infrastruktúra automatizált kiépítését nagyon alacsony költséggel. Ezt az Internet Security Research Group (ISRG) tervezte az ő Let's Encrypt szolgáltatásuk működtetéséhez.

A JSON formátumú üzenetek HTTPS kapcsolaton keresztüli továbbításán alapuló protokoll internetes tervezetként megjelent a saját bérelt IETF munkacsoportja által.

 

Megvalósítások

Az ISRG ingyenes és nyílt forrráskódú referencia-implementációkat kínál az ACME számára:  a certbot a szerver Python -alapú tanúsítványkezelő szoftvere, amely az ACME protokollt használja, és a boulder pedig a Go-ban írt tanúsítvány-hatósági megvalósítás. 2015 decemberében a Caddy webszerver natív támogatást kapott a tanúsítványok automatizált kiadásához és megújításához az ACME protokoll használatával. 2017 októberében a Let's Encrypt is bejelentette hasonló, modulként beépülő szolgáltatását az Apache HTTP szerver számára.

 

 

API verziók

1-es API verzió

Az API 1-es verziója 2016. április 12-én jelent meg. Támogatja a tanúsítványok kiállítását az egyéni domain nevek számára, mint például a pelda.hu, vagy a szerver1.pelda.hu. A Let's Encrypt azt javasolja, hogy a felhasználók minél előbb váltsanak a 2-es API verzióra, mert az 1-es verzió támogatása várhatóan megszűnik. Sok ACME kliensprogram már kompatibilis volt a 2-es verzióval, még annak megjelenése előtt.

2-es API verzió

A 2-es verzió – többszöri visszavonás után – 2018. március 13-án jelent meg. Az ACME v2 nem kompatibilis visszafelé a V1-el. A 2-es verzió támogatja a wildcard domaineket is, mint például a *.pelda.hu, azaz egy domain név alatt az összes aldomain számára ki tudja kérni a hiteles SSL tanúsítványt, továbbá a magánhálózatok is levédhetők egyetlen domain alatt egyetlen megosztott "wildcard" tanúsítvány használatával. A v2 egyik legfontosabb újítása, hogy a wildcard típusú tanúsítványok kikérésekor a protokoll megköveteli a domain névhez tartozó DNS "TXT" rekordjának módosítását, ezzel igazolva a domain név feletti felügyeletet.

Az ACME v2 protokoll változásai az 1-es verzióhoz képest:

  • Megváltozott engedélyezési / kiadási folyamat
  • Megváltozott a JWS engedély kérés
  • Könyvtár végpont / erőforrás átnevezés
  • URI -> URL átnevezés a challenge-ekre
  • A fiók létrehozása és a szerződési feltételek egyetlen lépésben kerülnek végrehajtásra kettő helyett
  • Új challenge típus került bevezetésre: TLS-SNI-02, és a korábbi TLS-SNI-01 visszavonásra került.

 

ACME kliensek

Néhány ismertebb ACME kliens (a teljesség igénye nélkül):