Automatic Certificate Management Environment

aus Wikipedia, der freien Enzyklopädie
ACME-Logo

Das Automatic Certificate Management Environment (ACME)[1] ist ein Protokoll zur automatischen Prüfung der Inhaberschaft einer Internet-Domain und dient der vereinfachten Ausstellung von digitalen Zertifikaten für TLS-Verschlüsselung. Ziel der Umgebung ist es, die Zertifikate automatisiert und sehr kostengünstig auszustellen.[2][3] Es wurde von der Internet Security Research Group (ISRG) für den Einsatz im Let’s-Encrypt-Dienst definiert.

Das Protokoll basiert auf JSON-formatierten Meldungen, die über HTTPS ausgetauscht werden. Das Protokoll ist im März 2019 als RFC 8555 standardisiert worden.[1][3]

Versionen

ACMEv1

Die ACME-Version 1 wurde am 12. April 2016 veröffentlicht. Mit dieser Version können Zertifikate für einzelne oder mehrere Domains, wie z. B. https://example.com oder https://cluster.example.com, ausgestellt werden. Es werden bis zu 100 Domainnamen pro Zertifikat unterstützt.[4] Let's Encrypt hat die Unterstützung für ACMEv1 zum 1. Juni 2021 eingestellt.[5]

ACMEv2

Die ACME-Version 2 unterstützt zusätzlich zu vollständigen Domainnamen in Zertifikaten neu auch Wildcard-Namen, wie z. B. *.example.com. Damit wird ermöglicht, dass viele oder wechselnde Subdomains, wie z. B. https://cluster1000.example.com bis https://cluster9999.example.com, über dasselbe Wildcard-Zertifikat *.example.com abgesichert werden können.[6] Zu beachten ist, dass Hostnamen in Subdomains (z. B. www.cluster1234.example.com) oder Hauptdomain (example.com) vom Wildcard-Zertifikat nicht abgedeckt werden. Diese Namen müssen als zusätzlicher Eintrag (Subject Alternative Name) im Zertifikat auftauchen oder es muss ein weiteres Zertifikat dafür ausgestellt werden.

In RFC 6125 wird aus Sicherheitsgründen von Wildcard-Zertifikaten abgeraten.[7] In vielen Fällen erübrigt die Möglichkeit zur Online-Erstellung von Zertifikaten auch den Bedarf für Wildcards.

Einzelnachweise

  1. a b RFC 8555 – Automatic Certificate Management Environment (ACME). Internet Engineering Task Force (englisch, Stand März 2019).
  2. Steven J. Vaughan-Nichols: Securing the web once and for all: The Let's Encrypt Project. ZDNet. 9. April 2015.
  3. a b ietf-wg-acme/acme. github.com. Abgerufen am 6. Januar 2017.
  4. Rate Limits – Let's Encrypt In: letsencrypt.org, abgerufen am 27. März 2018.
  5. End of Life Plan for ACMEv1. 1. Juni 2021, abgerufen am 1. Oktober 2021 (englisch).
  6. ACME v2 API Endpoint Coming January 2018 – Let's Encrypt In: letsencrypt.org, abgerufen am 27. März 2018.
  7. RFC 6125Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS). Internet Engineering Task Force, S. 31 (Stand März 2011) “
    This document states that the wildcard character '*' SHOULD NOT be included in presented identifiers but MAY be checked by application clients (mainly for the sake of backward compatibility with deployed infrastructure). […] Several security considerations justify tightening the rules: […]
    ”.
Abgerufen von „https://de.wikiup.org/index.php?title=Automatic_Certificate_Management_Environment&oldid=216313133