Entorno de gestión automática de certificados

Protocolo para gestionar certificados de clave pública

Logotipo de ACME

El protocolo Automatic Certificate Management Environment ( ACME ) es un protocolo de comunicaciones para automatizar las interacciones entre las autoridades de certificación y los servidores de sus usuarios, permitiendo la implementación automatizada de infraestructura de clave pública a muy bajo costo. ^{[1] [2]} Fue diseñado por el Internet Security Research Group (ISRG) para su servicio Let's Encrypt . ^[1]

El protocolo, basado en el paso de mensajes con formato JSON a través de HTTPS , ^{[2] [3]} ha sido publicado como un estándar de Internet en RFC  8555 ^[4] por su propio grupo de trabajo IETF autorizado . ^[5]

Implementaciones de clientes

El ISRG proporciona implementaciones de referencia gratuitas y de código abierto para ACME: certbot es una implementación basada en Python de software de gestión de certificados de servidor que utiliza el protocolo ACME, ^{[6] [7] [8]} y boulder es una implementación de autoridad de certificación , escrita en Go . ^[9]

Desde 2015 han aparecido una gran variedad de opciones de cliente para todos los sistemas operativos. ^[10]

Versiones de API

Versión 1 de API

La especificación API v1 se publicó el 12 de abril de 2016. Admite la emisión de certificados para nombres de dominio completamente calificados, como example.como cluster.example.com, pero no para caracteres comodín como *.example.com. Let's Encrypt desactivó la compatibilidad con API v1 el 1 de junio de 2021. ^[11]

Versión 2 de la API

La API v2 se lanzó el 13 de marzo de 2018 después de haber sido postergada varias veces. ACME v2 no es compatible con versiones anteriores de v1. La versión 2 admite dominios comodín, como *.example.com, lo que permite que muchos subdominios tengan TLS confiable , por ejemplo https://cluster01.example.com, https://cluster02.example.com, https://example.com, en redes privadas bajo un solo dominio utilizando un solo certificado "comodín" compartido. ^[12] Un nuevo requisito importante en v2 es que las solicitudes de certificados comodín requieren la modificación de un registro TXT del Servicio de nombres de dominio , verificando el control sobre el dominio.

Los cambios en el protocolo ACME v2 desde la versión v1 incluyen: ^[13]

• El flujo de autorización/emisión ha cambiado
• La autorización de solicitud de JWS ha cambiado
• El campo "recurso" de los cuerpos de solicitud de JWS se reemplaza por un nuevo encabezado de JWS: "url"
• Cambio de nombre de punto final/recurso de directorio
• URI → Cambio de nombre de URL en recursos de desafío
• La creación de la cuenta y el acuerdo de condiciones de servicio se combinan en un solo paso. Antes, eran dos pasos.
• Se implementó un nuevo tipo de desafío, TLS-ALPN-01. Dos tipos de desafío anteriores, TLS-SNI-01 y TLS-SNI-02, se eliminaron debido a problemas de seguridad. ^{[14] [15]}

Véase también

• Protocolo simple de inscripción de certificados , un intento anterior de un protocolo de implementación de certificados automatizado.

Referencias

1. Steven J. Vaughan-Nichols (9 de abril de 2015). "Asegurar la web de una vez por todas: el proyecto Let's Encrypt". ZDNet .
2. "ietf-wg-acme/acme-spec". GitHub . Consultado el 5 de abril de 2017 .
3. Chris Brook (18 de noviembre de 2014). "La EFF y otros planean facilitar el cifrado de la Web en 2015". ThreatPost.
4. Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (12 de marzo de 2019). Entorno de gestión automática de certificados (ACME). IETF . doi : 10.17487/RFC8555 . RFC 8555 . Consultado el 13 de marzo de 2019 .
5. "Entorno de gestión de certificados automatizado (acme)". IETF Datatracker . Consultado el 12 de marzo de 2019 .
6. "Certbot". EFF . Consultado el 14 de agosto de 2016 .
7. "certbot/certbot". GitHub . Consultado el 2 de junio de 2016 .
8. "Anuncio de Certbot: el cliente de la EFF para Let's Encrypt". LWN . 2016-05-13 . Consultado el 2016-06-02 .
9. "letsencrypt/boulder". GitHub . Consultado el 22 de junio de 2015 .
10. "Implementaciones de clientes ACME - Let's Encrypt - Certificados SSL/TLS gratuitos". letsencrypt.org .
11. "Plan de fin de vida útil para ACMEv1 - Anuncios de API". Soporte de la comunidad de Let's Encrypt . 2021-05-05 . Consultado el 2021-06-12 .
12. "ACME v2 API Endpoint llegará en enero de 2018 - Let's Encrypt - Certificados SSL/TLS gratuitos". letsencrypt.org .
13. "Punto final de prueba para ACME v2". Soporte de la comunidad de Let's Encrypt . 5 de enero de 2018.
14. "Tipos de desafíos: documentación de Let's Encrypt". Let's Encrypt . 2020-12-08 . Consultado el 2021-05-12 .
15. Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (12 de marzo de 2019). Entorno de gestión automática de certificados (ACME). IETF . doi : 10.17487/RFC8555 . RFC 8555 . Consultado el 12 de mayo de 2021 . Los valores "tls-sni-01" y "tls-sni-02" están reservados porque se usaron en versiones anteriores a RFC de esta especificación para indicar métodos de validación que se eliminaron porque se descubrió que no eran seguros en algunos casos.

Enlaces externos

• Barnes, Richard; Hoffman-Andrews, Jacob; Kasten, James. "Entorno de gestión automática de certificados (ACME)". IETF.
• Lista de clientes de ACME en Let's Encrypt
• Lista de clientes ACME de uso común en acmeclients.com