Среда автоматического управления сертификатами
Протокол управления сертификатами открытых ключей
Логотип АКМЕ

Протокол Automatic Certificate Management Environment ( ACME ) — это протокол связи для автоматизации взаимодействия между центрами сертификации и серверами их пользователей, позволяющий автоматизировать развертывание инфраструктуры открытых ключей при очень низких затратах. [1] [2] Он был разработан Internet Security Research Group (ISRG) для их сервиса Let's Encrypt . [1]

Протокол, основанный на передаче сообщений в формате JSON по HTTPS , [2] [3] был опубликован в качестве стандарта Интернета в RFC  8555 [4] собственной рабочей группой IETF . [5]

Реализации клиентов

ISRG предоставляет бесплатные и открытые эталонные реализации для ACME: certbot — это реализация программного обеспечения для управления сертификатами сервера на основе Python с использованием протокола ACME, [6] [7] [8] а boulder — это реализация центра сертификации , написанная на Go . [9]

С 2015 года появилось большое количество разнообразных клиентских опций для всех операционных систем. [10]

версии API

API-версия 1

Спецификация API v1 была опубликована 12 апреля 2016 года. Она поддерживает выдачу сертификатов для полностью определенных доменных имен, таких как example.comили cluster.example.com, но не для подстановочных знаков, таких как *.example.com. Let's Encrypt отключил поддержку API v1 1 июня 2021 года. [11]

API версии 2

API v2 был выпущен 13 марта 2018 года после нескольких отсрочек. ACME v2 не имеет обратной совместимости с v1. Версия 2 поддерживает подстановочные домены, такие как *.example.com, что позволяет многим поддоменам иметь доверенный TLS , например https://cluster01.example.com, https://cluster02.example.com, https://example.com, в частных сетях под одним доменом с использованием одного общего сертификата «wildcard». [12] Основным новым требованием в v2 является то, что запросы на подстановочные сертификаты требуют изменения записи TXT службы доменных имен , подтверждающей контроль над доменом.

Изменения в протоколе ACME v2 по сравнению с v1 включают: [13]

  • Изменился процесс авторизации/выдачи
  • Изменилась авторизация запроса JWS
  • Поле «ресурс» в теле запроса JWS заменено новым заголовком JWS: «url»
  • Переименование конечной точки/ресурса каталога
  • URI → Переименование URL в ресурсах вызова
  • Создание учетной записи и соглашение ToS объединены в один шаг. Раньше это были два шага.
  • Был реализован новый тип вызова TLS-ALPN-01. Два предыдущих типа вызова TLS-SNI-01 и TLS-SNI-02 были удалены из-за проблем безопасности. [14] [15]

Смотрите также

Ссылки

  1. ^ Стивен Дж. Воган-Николс (9 апреля 2015 г.). «Защитим Интернет раз и навсегда: проект Let's Encrypt». ZDNet .
  2. ^ ab "ietf-wg-acme/acme-spec". GitHub . Получено 2017-04-05 .
  3. ^ Крис Брук (18 ноября 2014 г.). «EFF и другие планируют упростить шифрование в Интернете в 2015 г.». ThreatPost.
  4. ^ Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (12.03.2019). Среда автоматического управления сертификатами (ACME). IETF . doi : 10.17487/RFC8555 . RFC 8555 . Получено 13.03.2019 .
  5. ^ "Автоматизированная среда управления сертификатами (acme)". IETF Datatracker . Получено 2019-03-12 .
  6. ^ "Certbot". EFF . Получено 2016-08-14 .
  7. ^ "certbot/certbot". GitHub . Получено 2016-06-02 .
  8. ^ "Представляем Certbot: клиент EFF для Let's Encrypt". LWN . 2016-05-13 . Получено 2016-06-02 .
  9. ^ "letsencrypt/boulder". GitHub . Получено 2015-06-22 .
  10. ^ «Реализации клиента ACME — Let's Encrypt — Бесплатные сертификаты SSL/TLS». letsencrypt.org .
  11. ^ "План окончания срока службы ACMEv1 - Объявления API". Поддержка сообщества Let's Encrypt . 2021-05-05 . Получено 2021-06-12 .
  12. ^ «Конечная точка API ACME v2 появится в январе 2018 г. — Let's Encrypt — Бесплатные сертификаты SSL/TLS». letsencrypt.org .
  13. ^ "Staging endpoint for ACME v2". Поддержка сообщества Let's Encrypt . 5 января 2018 г.
  14. ^ "Типы задач - Документация Let's Encrypt". Let's Encrypt . 2020-12-08 . Получено 2021-05-12 .
  15. ^ Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (12.03.2019). Среда автоматического управления сертификатами (ACME). IETF . doi : 10.17487/RFC8555 . RFC 8555. Получено 12.05.2021 . Значения «tls-sni-01» и «tls-sni-02» зарезервированы, поскольку они использовались в версиях данной спецификации до RFC для обозначения методов проверки, которые были удалены, поскольку в некоторых случаях они оказались небезопасными.
  • Барнс, Ричард; Хоффман-Эндрюс, Джейкоб; Кастен, Джеймс. «Среда автоматического управления сертификатами (ACME)». IETF.
  • Список клиентов ACME в Let's Encrypt
  • Список часто используемых клиентов ACME через acmeclients.com
Взято с "https://en.wikipedia.org/w/index.php?title=Среда_автоматического_управления_сертификатами&oldid=1259922281#API_version_2"