Digitale Interaktionen bestimmen unser tägliches Leben, sei es bei der Online-Kommunikation bis zum Datenaustausch. Daher stehen Unternehmen in allen Branchen Bedrohungen der Cybersicherheit gegenüber. Angesichts dieser Bedrohungen war der Wert von TLS-Zertifikaten noch nie so hoch wie heute. Sie dienen als Grundlage für sichere Online-Kommunikation, Datenverschlüsselung und Identitätsüberprüfung.
Wie ACME die Sicherheit revolutioniert hat
Das ACME-Protokoll (Automated Certificate Management Environment) vereinfacht den Prozess der Zertifikatsverwaltung, indem es Webservern und anderen Diensten ermöglicht, automatisch den Besitz einer Domäne nachzuweisen und Zertifikate von CAs anzufordern, ähnlich wie bei herkömmlichen manuellen Verfahren.
Obwohl ACME den Prozess der Domain-Validierung automatisiert, erfolgt diese Validierung normalerweise jedes Mal, wenn ein Zertifikat angefordert wird. Die jüngsten Verbesserungen des ACME-Protokolls ermöglichen es Unternehmen, die Ausstellung von Zertifikaten für Subdomains zu verwalten, ohne dass jeweils eine Domain-Validierung erfolgen muss.
GlobalSigns verbesserter ACME-Service
Zur Verbesserung unseres Services für unsere Kunden nutzt ACME von GlobalSign die integrierten Fähigkeiten des Protokolls dahingehend, dass keine Domain-Validierung für Subdomains mehr nötig ist, wenn die übergeordnete Domain bereits verifiziert wurde. Wenn zum Beispiel die Domäne example.com bereits validiert wurde und später ein Zertifikat für shop.example.com angefordert wird, wird diese Anforderung verarbeitet, ohne dass die Validierung von shop.example.com nötig ist.
Mehr über die Implementierung von ACME erfahren Sie in unserem Support-Artikel
Verbesserte Benutzerfreundlichkeit
Mehr Effizienz: Unabhängig davon, ob das Hinzufügen direkt über das Atlas-Portal oder jetzt über „ACME challenge“ erfolgt, werden Domain-Validierungen auf künftige Zertifikatsanforderungen automatisch auf dieselben oder auf untergeordnete Domänen angewendet.
Bessere Skalierbarkeit: Es ist möglich, dass die Zertifizierungsstelle aufgrund kundenspezifischer Netzwerksicherheitsregeln keine eingehenden Verbindungen zu dem Server herstellen kann, der für die HTTP-Validierung erforderlich ist, so dass die automatische DNS-Validierung möglicherweise nicht nutzbar ist. In solchen Fällen kann ein Atlas-Administrator die Top-Level-Domain über DNS oder E-Mail validieren. (Domains, die über die HTTP-Methode validiert werden, dürfen nicht für die Ausgabe von Wildcard- oder Subdomain-SANs verwendet werden.) Dadurch ist ACME an mehreren Standorten einsetzbar.
Zusätzliche Verbesserungen
Zusätzlich zur erweiterten Wiederverwendung der Domain-Validierung hat GlobalSign kürzlich zwei weitere Verbesserungen an seinem ACME-Service vorgenommen, um den Service für die Kunden zu optimieren:
ACME Nonce
Ein ACME Nonce ist ein kryptographischer Wert, mit dem Wiederholungsangriffe verhindert werden sollen. (Wenn also ein Angreifer versucht, eine zuvor gesendete Nachricht erneut zu verwenden.) Bisher hat der ACME-Server von GlobalSign Nonce-Werte intern gespeichert. Dabei konnten Nonce-Werte jedoch nicht über mehrere Server hinweg gemeinsam genutzt werden. Unser ACME-Server konnte dadurch mit Anfragen überlastet werden, die nicht auf andere Server verteilten werden konnten. Das konnte zu Antwortverzögerungen und Ausfällen führen. GlobalSign hat nun sein Backend so verbessert, dass Nonce-Werte jetzt in einem Key-Value-Server gespeichert werden. Damit können mehrere ACME-Server einen einzigen Speicher für Nonce-Werte nutzen. So können wir den Dienst skalieren, um die Belastung auszugleichen und mehr Anfragen als je zuvor zu bearbeiten.
ACME KeyChange
Wenn der öffentliche ACME-Schlüssel eines Kunden kompromittiert wurde oder ein entsprechender Verdacht besteht, gab es bisher nur die Möglichkeit, das Konto zu deaktivieren, ein neues anzulegen und die Authentifizierungsverbindungen zum ACME-Server wiederherzustellen. Mit der Implementierung der ACME KeyChange-Funktion haben Kunden nun die Möglichkeit, den mit ihrem Konto verknüpften öffentlichen Schlüssel einfach zu ändern. Diese Funktion wurde in Übereinstimmung mit RFC 8555 und der Chrome Root Program Policy von Google implementiert.