A medida que las interacciones digitales gobiernan nuestra vida cotidiana, desde las comunicaciones en línea hasta el intercambio de datos, las organizaciones se enfrentan a amenazas de ciberseguridad en todos los sectores. Dada esta amenaza, el valor de los certificados SSL / TLS nunca ha sido mayor. Sirven de base para las comunicaciones en línea seguras, el cifrado de datos y la verificación de identidad.
Cómo ACME ha revolucionado la seguridad
El protocolo ACME (Automated Certificate Management Environment) simplifica el proceso de gestión de certificados al permitir que los servidores web y otros servicios demuestren automáticamente la propiedad del dominio y soliciten certificados a las Autoridades Certificadoras (CA) de forma similar a los procesos manuales convencionales.
Aunque ACME automatiza el proceso de validación de dominios, esta validación suele producirse cada vez que se solicita un certificado. Las recientes mejoras del protocolo ACME permiten a las organizaciones gestionar la emisión de certificados para subdominios sin necesidad de validación individual de dominios.Servicio ACME mejorado de GlobalSign
Servicio ACME mejorado de GlobalSign
Para ofrecer un mejor servicio a nuestros clientes, el servicio ACME de GlobalSign aprovecha las capacidades integradas del protocolo para eliminar el requisito de validación de dominios para subdominios, siempre que el dominio principal ya haya sido verificado. Por ejemplo, si se ha validado correctamente el dominio example.com y posteriormente se envía una solicitud de certificado para shop.example.com, la solicitud se procesará sin requerir la validación de shop.example.com.
Más información sobre la implementación de ACME en nuestro artículo de soporte
Experiencia de usuario mejorada
Mayor eficiencia: Ya sea añadiendo a través del portal Atlas directamente o ahora a través de ACME challenge, las validaciones de dominio se aplicarán automáticamente a futuras solicitudes de certificados para el mismo dominio o dominios subordinados.
Escalabilidad mejorada: Hay situaciones en las que la CA no puede crear conexiones entrantes al servidor necesarias para la validación HTTP debido a reglas de seguridad de red específicas del cliente, y en las que la validación DNS automatizada podría no ser utilizable. En estos casos, un administrador de Atlas puede validar el dominio de nivel superior mediante DNS o correo electrónico (los dominios validados mediante el método HTTP no pueden utilizarse para emitir SAN con wildcards o subdominios), lo que permitirá utilizar ACME en más ubicaciones.
Mejoras adicionales
Además de ampliar la reutilización de la validación de dominios, GlobalSign ha realizado otras dos mejoras recientes en su servicio ACME que servirán mejor a sus clientes:
ACME Nonce
Un nonce ACME es un valor criptográfico que se utiliza para evitar ataques de repetición (en los que un adversario intenta reutilizar un mensaje enviado previamente). Anteriormente, el servidor ACME de GlobalSign almacenaba los valores nonce internamente, lo que significaba que los valores nonce no podían compartirse entre varios servidores. De este modo, nuestro servidor ACME podía sobrecargarse con peticiones y no tenía capacidad para equilibrar la carga con otros servidores, lo que podía introducir retrasos y fallos en la respuesta. GlobalSign mejoró su backend para que los valores nonce se almacenen ahora en un servidor de valores clave, en el que varios servidores ACME pueden compartir un único almacén de valores nonce. Esto nos permite escalar el servicio para equilibrar la carga y gestionar más solicitudes que nunca.
ACME KeyChange
Si la clave pública de ACME de un cliente se ve comprometida, o si existe la sospecha de que la clave puede haberse visto comprometida, la única opción era desactivar la cuenta, crear una nueva y restablecer las conexiones de autenticación con el servidor de ACME. Con la implementación de la función ACME KeyChange, los clientes tienen ahora la posibilidad de modificar fácilmente la clave pública vinculada a su cuenta. Esta función se ha implementado de acuerdo con RFC 8555 y la política del programa Chrome Root de Google.
