ACME is een internetprotocol dat is ontworpen om bedrijven in staat te stellen te communiceren met een Certificate Authority (CA) en de levenscyclus van SSL / TLS certificaten te automatiseren. Deze no-touch omgeving maakt de uitgifte van certificaten tegen lage kosten en hoge snelheid mogelijk. De kracht van ACME ligt in de communicatie tussen een ACME-client die een certificaat aanvraagt bij een ACME-server die wordt beheerd door een CA, zoals GlobalSign, om gezamelijk de belangrijkste functies van certificaatlevenscyclusbeheer (CLM) te automatiseren.
In deze blog zullen we de nieuwste update van GlobalSign's ACME-dienst verkennen; het uitgeven van IntranetSSL-certificaten voor interne domeinen.
Evolutie van het ACME-protocol
Het ACME-protocol is sinds zijn ontstaan aanzienlijk geëvolueerd. Oorspronkelijk ontwikkeld om de uitgifte en het beheer van TLS-certificaten te stroomlijnen, is ACME geëvolueerd om de groeiende uitdagingen aan te pakken waarmee bedrijven worden geconfronteerd op het gebied van schaalbaarheid, beveiliging en wendbaarheid. Ondersteuning voor kortere certificaatleeftijden, verbeterde automatiseringsmogelijkheden en integratie met opkomende technologieën zoals containerisatie en cloud computing stelt organisaties in staat om voorop te blijven lopen bij de evoluerende beveiligingsdreigingen en nalevingsvereisten.
GlobalSign’s ACME-oplossing – Recente Updates en Verbeteringen
Het aanpassen aan veranderende beveiligingseisen is een must voor organisaties om compliant en veilig te blijven. GlobalSign's recente updates aan zijn ACME-dienst omvatten hergebruik van subdomeinvalidatie, ondersteuning van het ACME KeyChange-eindpunt en interne ACME Nonce-updates. We hebben sindsdien verder gewerkt aan het verbeteren van onze ACME-dienst en zijn verheugd om ondersteuning voor interne domeincertificaten via ACME op onze IntranetSSL-productlijn te introduceren.
Wat Betekent Dit?
Met de introductie van deze functie ontsluit GlobalSign een mogelijkheid die eerder niet gemakkelijk beschikbaar was voor organisaties: de mogelijkheid om certificaten uit te geven via ACME voor interne en private domeinen met behulp van niet-officiële domeinnaamextensies, zoals .internal of .lan. Organisaties kunnen deze interne domeinen gebruiken voor ontwikkelingsnetwerken of andere niet-productieomgevingen; ze worden ook gebruikt voor private apparaten-netwerken en Active Directory-domeinen (hoewel het aanbevolen gebruik voor AD-domeinen is om een subdomein van een publiek geregistreerd domein te gebruiken dat door uw organisatie wordt beheerd).
ACME-uitdagingen vertrouwen doorgaans op openbare DNS om een TXT-record op te zoeken of het adres van een server op te lossen. Er bestaat echter geen openbare DNS voor niet-officiële domeinnaamextensies. Tot nu toe was dit een barrière voor uitgifte. Dit is een gamechanger voor organisaties die certificaatbeheer willen automatiseren en betere PKI-wendbaarheid willen toepassen in bedrijfskritische gebieden.
Waarom is Dit Belangrijk?
Het beveiligen van eindpunten op interne domeinen is essentieel voor het omgaan met gevoelige informatie en interne communicatie, en om deze eindpunten te beschermen tegen potentiële aanvallen op de toeleveringsketen en andere bedreigingen en kwetsbaarheden. GlobalSign heeft zijn robuuste IntranetSSL-product geautomatiseerd via het ACME-protocol om intranet/niet-publieke domeinen te beveiligen.
Door de inzet en vernieuwing van niet-publieke TLS-certificaten te automatiseren, kunnen organisaties ervoor zorgen dat private eindpunten encryptiestandaarden handhaven en voldoen aan interne nalevingsvereisten, waardoor ongeautoriseerde toegang, datalekken en mogelijke verstoringen van interne operaties worden voorkomen.
We erkennen het belang van de privacy en beveiliging van interne netwerken. Private hiërarchieën zoals IntranetSSL zijn niet onderworpen aan de nalevingsvereisten van publiek vertrouwde certificaten; als zodanig worden certificaten die via deze hiërarchie worden uitgegeven, niet gepubliceerd in CT-logs, waardoor uw interne domeinen privé blijven. Bovendien, aangezien we de domeinuitdaging voor interne domeinen kunnen overslaan, zijn certificaatverzoeken van de ACME-client allemaal uitgaand vanuit uw netwerk; er is geen noodzaak om de firewall inbound te openen voor domeinuitdagingen; wanneer het certificaat is uitgegeven, downloadt de ACME-client het!
Voordelen van het Voorzien van IntranetSSL via ACME
Gecentraliseerd Beheer: Gebruikmakend van de ingebouwde mogelijkheden van het ACME-protocol en de recente updates van GlobalSign, kunt u zowel openbare als private certificaten centraal beheren. Door dezelfde processen te gebruiken om certificaten op alle eindpunten te beheren, wordt het beheer vereenvoudigd en wordt het risico op inbreuken verminderd.
Naleving: Organisaties kunnen consistente beveiligingsbeleid en nalevingsnormen afdwingen. Organisaties hoeven niet langer te vertrouwen op intern personeel dat zelfondertekende vertrouwensketens creëert om vitale interne eindpunten te beschermen. Organisaties kunnen nu de last delen met een vertrouwde CA die de industriële kennis en expertise heeft om niet-publieke certificaten uit te geven voor niet-publiek gebruik.
Schaalbaarheid: GlobalSign’s ACME-dienst biedt schaalbare certificaatbeheermogelijkheden, waardoor organisaties efficiënt certificaten kunnen beheren voor een groot aantal private eindpunten, en hun oplossing kunnen uitbreiden en aanpassen naarmate hun infrastructuur groeit en rijpt.
Door IntranetSSL-certificaten automatisch te voorzien via ACME, verhoogt het de operationele efficiëntie en verbetert het de beveiligingshouding, waardoor de last op beveiligingsteams wordt verlicht.
Groene knop: Ontdek meer over GlobalSign’s ACME-dienst en hoe wij u kunnen helpen bij het implementeren van IntranetSSL voor uw organisatie.