ACME ist ein Internetprotokoll, das es Unternehmen ermöglicht, mit einer Zertifizierungsstelle (CA) zu kommunizieren und den Lebenszyklus von SSL/TLS-Zertifikaten zu automatisieren. Diese kontaktfreie Umgebung ermöglicht die Ausstellung von Zertifikaten zu niedrigen Kosten und mit hoher Geschwindigkeit. Die Stärke von ACME liegt in der Kommunikation zwischen einem ACME-Client, der ein Zertifikat von einem ACME-Server anfordert. Dieser wiederum wird von einer CA wie GlobalSign betrieben und gemeinsam automatisieren sie die Schlüsselfunktionen für das Certificate Lifecycle Management (CLM).
In diesem Blog befassen wir uns mit dem neuesten Update von GlobalSigns ACME-Service: der Ausstellung von IntranetSSL-Zertifikaten für interne Domains.
Evolution des ACME-Protokolls
Das ACME-Protokoll hat sich seit seinen Anfängen stark weiterentwickelt. Ursprünglich sollte es die Ausstellung und Verwaltung von SSL/TLS-Zertifikaten rationalisieren. Mittlerweile geht ACME die wachsenden Herausforderungen von Unternehmen in Bezug auf Skalierbarkeit, Sicherheit und Flexibilität an. Dank der Unterstützung kürzerer Zertifikatslaufzeiten, verbesserter Automatisierungsfunktionen und der Integration in neue Technologien wie Containerisierung und Cloud Computing können Unternehmen den sich entwickelnden Sicherheitsbedrohungen und Compliance-Anforderungen immer einen Schritt voraus sein.
GlobalSigns ACME-Lösung – Aktuelle Updates und Verbesserungen
Die Anpassung an neue Sicherheitsanforderungen ist für Unternehmen ein Muss, um die Vorschriften einzuhalten und geschützt zu bleiben. GlobalSigns jüngste Aktualisierungen seines ACME-Services umfassen die Wiederverwendung der Subdomain-Validierung, die Unterstützung des ACME KeyChange-Endpunkts und interne ACME Nonce-Aktualisierungen. Wir haben seitdem weiter an der Verbesserung unseres ACME-Services gearbeitet und haben nun in unserer IntranetSSL-Produktlinie die Unterstützung für interne Domain-Zertifikate über ACME eingeführt.
Was bedeutet dies?
Mit dieser Funktion schaltet GlobalSign eine Fähigkeit frei, die für Organisationen bisher nicht ohne Weiteres zugänglich war: die Fähigkeit, Zertifikate über ACME für interne und private Domains mit inoffiziellen Domain-Endungen wie .internal oder .lan auszustellen. Organisationen können solche internen Domains für Entwicklungsnetzwerke oder andere Nicht-Produktionsumgebungen verwenden. Alternativ werden sie auch für private Gerätenetzwerke und Active Directory-Domains genutzt. (Die empfohlene Praxis für AD-Domains ist allerdings die Subdomain einer öffentlich registrierten Domain, die von Ihrer Organisation kontrolliert wird.)
Die ACME-Aufgaben stützen sich in der Regel auf öffentliche DNS, um TXT-Einträge nachzuschlagen oder Server-Adressen aufzulösen. Es gibt jedoch für inoffizielle Domain-Suffixe keine öffentlichen DNS. Bisher stellte das ein Hindernis für die Ausstellung von Dokumenten dar. Das ist ein entscheidender Vorteil für Unternehmen, die das Zertifikatsmanagement automatisieren und in geschäftskritischen Bereichen mehr PKI-Flexibilität erreichen möchten.
Warum ist das wichtig?
Die Absicherung von Endpunkten in internen Domains ist für den Umgang mit sensiblen Informationen und interner Kommunikation unerlässlich. Sie schützt diese Endpunkte u.a. vor potenziellen Angriffen auf die Lieferkette und anderen Bedrohungen und Schwachstellen. GlobalSigns robustes IntranetSSL-Produkt kann automatisch über das ACME-Protokoll bereitgestellt werden, um Intranet- oder nicht-öffentliche Domains zu sichern.
Durch die Automatisierung der Bereitstellung und Erneuerung nicht-öffentlicher TLS/SSL-Zertifikate können Unternehmen sicherstellen, dass private Endgeräte Verschlüsselungsstandards einhalten und interne Compliance-Vorgaben erfüllen. Dadurch lassen sich unbefugter Zugriff, Datenschutzverletzungen und Unterbrechungen interner Abläufe verhindern.
Wir sind uns der Bedeutung des Datenschutzes und der Sicherheit interner Netzwerke bewusst. Private Hierarchien wie IntranetSSL sind nicht den Compliance-Vorgaben für öffentlich vertrauenswürdige Zertifikate unterworfen. Daher werden über diese Hierarchie ausgestellte Zertifikate nicht in CT-Protokollen veröffentlicht und Ihre internen Domains bleiben privat. Da wir die Domain-Aufgabe für interne Domains überspringen können, gehen alle Zertifikatsanfragen des ACME-Clients von Ihrem Netzwerk aus, ohne dass die Firewall für Domain-Aufgaben geöffnet werden muss. Wenn also das Zertifikat ausgestellt ist, lädt der ACME-Client es herunter!
Vorteile der Bereitstellung von IntranetSSL über ACME
Zentralisiertes Management: Die Nutzung der integrierten Fähigkeiten des ACME-Protokolls und die jüngsten Updates von GlobalSign ermöglichen die zentralisierte Verwaltung von öffentlichen und privaten Zertifikaten. Die Verwendung der gleichen Prozesse für die Zertifikate auf allen Endgeräten vereinfacht deren Verwaltung und verringert das Risiko von Verstößen.
Compliance: Unternehmen können einheitliche Sicherheitsrichtlinien und Konformitätsstandards durchsetzen. Die Unternehmen müssen sich nicht mehr auf selbstsignierte Vertrauensketten von internen Mitarbeitern verlassen, um wichtige interne Endpunkte zu schützen. Sie können diese Last nun mit einer vertrauenswürdigen CA teilen, die das Branchenwissen und die Erfahrung hat, um für nicht-öffentliche Anwendungsfälle nicht-öffentliche Zertifikate auszustellen.
Skalierbarkeit: GlobalSigns ACME-Service bietet skalierbare Optionen zur Zertifikatsverwaltung, mit denen Organisationen Zertifikate für eine beliebige Anzahl von privaten Endpunkten effizient verwalten können. Zudem können sie ihre Lösung erweitern und anpassen, sobald ihre Infrastruktur wächst.
Durch die automatische Bereitstellung von IntranetSSL-Zertifikaten über ACME wird die betriebliche Effizienz erhöht und die Sicherheitslage verbessert. Das entlastet letztendlich die Sicherheitsteams.
