Automatic Certificate Management Environment

Das Automatic Certificate Management Environment (ACME)^[1] ist ein Protokoll zur automatischen Prüfung der Inhaberschaft einer Internet-Domain und dient der vereinfachten Ausstellung von digitalen Zertifikaten für TLS-Verschlüsselung. Ziel der Umgebung ist es, die Zertifikate automatisiert und sehr kostengünstig auszustellen.^[2][3] Es wurde von der Internet Security Research Group (ISRG) für den Einsatz im Let’s-Encrypt-Dienst entwickelt.

Das Protokoll basiert auf JSON-formatierten Meldungen, die über HTTPS ausgetauscht werden. Das Protokoll ist im März 2019 von der Internet Engineering Task Force (IETF) als RFC 8555 standardisiert worden.^[1][3]

Versionen[Bearbeiten | Quelltext bearbeiten]

ACMEv1[Bearbeiten | Quelltext bearbeiten]

Die ACME-Version 1 wurde am 12. April 2016 veröffentlicht. Mit dieser Version können Zertifikate für einzelne oder mehrere Domains, wie z. B. https://example.com oder https://cluster.example.com, ausgestellt werden. Es werden bis zu 100 Domainnamen pro Zertifikat unterstützt.^[4] Let’s Encrypt hat die Unterstützung für ACMEv1 zum 1. Juni 2021 eingestellt.^[5]

ACMEv2[Bearbeiten | Quelltext bearbeiten]

Die ACME-Version 2 unterstützt zusätzlich zu vollständigen Domainnamen in Zertifikaten neu auch Wildcard-Namen, wie z. B. *.example.com. Damit wird ermöglicht, dass viele oder wechselnde Subdomains, wie z. B. https://cluster1000.example.com bis https://cluster9999.example.com, über dasselbe Wildcard-Zertifikat *.example.com abgesichert werden können.^[6] Zu beachten ist, dass Hostnamen in Subdomains (z. B. www.cluster1234.example.com) oder Hauptdomain (example.com) vom Wildcard-Zertifikat nicht abgedeckt werden. Diese Namen müssen als zusätzlicher Eintrag (Subject Alternative Name) im Zertifikat auftauchen oder es muss ein weiteres Zertifikat dafür ausgestellt werden.

In RFC 6125 wird aus Sicherheitsgründen von Wildcard-Zertifikaten abgeraten.^[7] In vielen Fällen erübrigt die Möglichkeit zur Online-Erstellung von Zertifikaten auch den Bedarf für Wildcards.

ACME Renewal Information[Bearbeiten | Quelltext bearbeiten]

Die Protokoll-Erweiterung ACME Renewal Information (ARI) ermöglicht einer Zertifizierungsstelle, dem ACME-Client mitzuteilen, wann eine Zertifikatserneuerung erfolgen soll. Dadurch kann die Zertifizierungsstelle Lastspitzen besser verteilen oder eine vorzeitige Zertifikatserneuerung im Fall eines Zertifikats-Widerrufs auslösen.^[8] ARI wurde im Jahr 2020 von Let’s Encrypt in den Standardisierungsprozess der IETF eingebracht.^[9] Im August 2023 war es im Status eines Internet-Drafts.^[8] Let’s Encrypt setzt ARI seit März 2023 produktiv ein.^[9]

Verbreitung[Bearbeiten | Quelltext bearbeiten]

ACME wird von verschiedenen Zertifizierungsstellen zur Ausstellung von PKIX-Zertifikaten eingesetzt. Der kostenlose Anbieter Let’s Encrypt verwendet es als einziges Verfahren zur Zertifikatsausstellung. Kommerzielle Anbieter wie Buypass Go SSL^[10], SSL.com^[11] oder ZeroSSL^[12] verwenden ACME, um kostenlose Zertifikate mit eingeschränkter Gültigkeitsdauer auszustellen.

Es gibt eine Vielzahl von ACME-Clients als Open-Source-Software.^[13]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b} RFC 8555 – Automatic Certificate Management Environment (ACME). März 2019 (englisch).
2. ↑ Steven J. Vaughan-Nichols: Securing the web once and for all: The Let’s Encrypt Project. ZDNet, 9. April 2015, abgerufen am 22. Juni 2023 (englisch). 
3. ↑ ^{a b} ietf-wg-acme/acme. In: github.com. Abgerufen am 6. Januar 2017 (englisch). 
4. ↑ Rate Limits – Let’s Encrypt. letsencrypt.org; abgerufen am 27. März 2018.
5. ↑ End of Life Plan for ACMEv1. 1. Juni 2021, abgerufen am 1. Oktober 2021 (englisch). 
6. ↑ ACME v2 API Endpoint Coming January 2018 – Let’s Encrypt. letsencrypt.org; abgerufen am 27. März 2018.
7. ↑ RFC 6125 – Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS). März 2011, Abschnitt 7.2 (englisch). “This document states that the wildcard character '*' SHOULD NOT be included in presented identifiers but MAY be checked by application clients (mainly for the sake of backward compatibility with deployed infrastructure). […] Several security considerations justify tightening the rules: […]”.
8. ↑ ^{a b} Automated Certificate Management Environment (ACME) Renewal Information (ARI) Extension. In: Internet-Draft. Internet Engineering Task Force, 8. Februar 2023, abgerufen am 10. August 2023. 
9. ↑ ^{a b} Improving Resiliency and Reliability for Let’s Encrypt with ARI. In: letsencrypt.org. 23. März 2023, abgerufen am 10. August 2023 (englisch). 
10. ↑ Buypass Go SSL – free TLS/SSL certificate, based on ACME. Abgerufen am 21. März 2023 (englisch). 
11. ↑ Order Free 90-Day SSL/TLS Certificates with ACME. Abgerufen am 21. März 2023 (englisch). 
12. ↑ ACME Automation. Abgerufen am 21. März 2023 (englisch). 
13. ↑ ACME Client Implementierungen. Abgerufen am 21. März 2023.