Automatic Certificate Management Environment

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das Automatic Certificate Management Environment (ACME)[1] ist ein Protokoll zur automatischen Prüfung der Inhaberschaft einer Internet-Domain und dient der vereinfachten Ausstellung von digitalen Zertifikaten für TLS-Verschlüsselung. Ziel der Umgebung ist es, die Zertifikate automatisiert und sehr kostengünstig auszustellen.[2][3] Es wurde von der Internet Security Research Group (ISRG) für den Einsatz im Let’s-Encrypt-Dienst definiert.

Das Protokoll basiert auf JSON-formatierten Meldungen, die über HTTPS ausgetauscht werden. Der Protokollvorschlag liegt zurzeit als Internet Draft vor.[4][3]

Versionen[Bearbeiten | Quelltext bearbeiten]

ACMEv1[Bearbeiten | Quelltext bearbeiten]

Die ACME-Version 1 wurde am 12. April 2016 veröffentlicht. Mit dieser Version können Zertifikate für einzelne oder mehrere Domains, wie z. B. https://example.com oder https://cluster.example.com, ausgestellt werden. Es werden bis zu 100 Domainnamen pro Zertifikat unterstützt.[5] Let's Encrypt empfiehlt, dass Benutzer so schnell wie möglich auf die Version 2 migrieren, da die Version 1 in voraussehbarer Zeit nicht mehr unterstützt werden soll.[6]

ACMEv2[Bearbeiten | Quelltext bearbeiten]

Die ACME-Version 2 unterstützt zusätzlich zu vollständigen Domainnamen in Zertifikaten neu auch Wildcard-Namen, wie z. B. *.example.com. Damit wird ermöglicht, dass viele oder wechselnde Subdomains, wie z. B. https://cluster1000.example.com bis https://cluster9999.example.com, über dasselbe Wildcard-Zertifikat *.example.com abgesichert werden können.[7] Zu beachten ist, dass Hostnamen in Subdomains (z. B. www.cluster1234.example.com) oder Hauptdomain (example.com) vom Wildcard-Zertifikat nicht abgedeckt werden. Diese Namen müssen als zusätzlicher Eintrag (Subject Alternative Name) im Zertifikat auftauchen oder es muss ein weiteres Zertifikat dafür ausgestellt werden.

In RFC 6125 wird aus Sicherheitsgründen von Wildcard-Zertifikaten abgeraten.[8] In vielen Fällen erübrigt die Möglichkeit zur Online-Erstellung von Zertifikaten auch den Bedarf für Wildcards.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Kasten, James, Barnes, Richard, Hoffman-Andrews, Jacob: Automatic Certificate Management Environment (ACME). Abgerufen am 8. August 2017 (englisch).
  2. Steven J. Vaughan-Nichols: Securing the web once and for all: The Let's Encrypt Project. ZDNet. 9. April 2015.
  3. a b ietf-wg-acme/acme. github.com. Abgerufen am 6. Januar 2017.
  4. Chris Brook: EFF, Others Plan to Make Encrypting the Web Easier in 2015. ThreatPost. 18. November 2014.
  5. Rate Limits – Let's Encrypt In: letsencrypt.org, abgerufen am 27. März 2018.
  6. ACME Client Implementations – Let's Encrypt In: letsencrypt.org, abgerufen am 27. März 2018.
  7. ACME v2 API Endpoint Coming January 2018 – Let's Encrypt In: letsencrypt.org, abgerufen am 27. März 2018.
  8. P. Saint-Andre, J. Hodges: RFC 6125 – Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS). In: Internet Engineering Task Force. März 2011, S. 31, abgerufen am 25. März 2018 (englisch): „This document states that the wildcard character '*' SHOULD NOT be included in presented identifiers but MAY be checked by application clients (mainly for the sake of backward compatibility with deployed infrastructure). […] Several security considerations justify tightening the rules: […]“