Uma maneira leve e prática de gerenciar o ciclo de vida de SSL/TLS
O protocolo ACME, ou Ambiente de Gerenciamento Automático de Certificados, é um protocolo para automatizar o registro de certificados SSL/TLS e sua emissão e instalação.
Originalmente, foi criado pelo Internet Security Research Group (ISRG) e padronizado como RFC 8555. Popularizou-se pela Let's Encrypt – a Autoridade Certificadora (AC) gratuita e de código aberto. Com o lançamento do ACME v2, a funcionalidade do protocolo aumentou e agora a GlobalSign está começando a aproveitá-lo por sua facilidade de uso e praticidade.
Após um período de testes beta, estamos satisfeitos em lançar a primeira iteração de nosso Serviço ACME, que fornecerá certificados SSL/TLS de Validação de Domínio (DV) para nossos clientes. É um excelente primeiro passo para automatizar os ciclos de vida de SSL/TLS e ingressar em estratégias de automação maiores para gerenciar toda a sua infraestrutura de chave pública (PKI).
Por que ACME?
Você já instalou um certificado SSL/TLS alguma vez? Sem automação, o processo é cansativo. Você precisa criar uma solicitação de assinatura de certificado (CSR), ou seja, precisa gerar uma do lado do servidor e copiar/colar em um campo para sua AC. Depois disso, deve validar manualmente o domínio, geralmente atualizando seu site ou registro DNS com um valor fornecido pela Autoridade Certificadora (AC). Então, você tem que esperar a emissão do certificado, colocar o certificado no servidor em que está sendo instalado, instalá-lo e certificar-se de que tudo está configurado corretamente. Para um único site, isso pode levar mais de 40 minutos. Em escala, pode consumir tempo e recursos consideráveis.
O ACME muda este quadro. O uso do protocolo ACME permite fornecer certificados SSL/TLS para qualquer servidor com um agente ACME instalado nele, incluindo máquinas que não sejam da Microsoft. Depois de instalar e configurar o agente ACME, o Serviço ACME da GlobalSign fará todo o resto – geração da CSR, validação do domínio, instalação do certificado – para você. Tudo em silêncio, nos bastidores.
OK, mas por que escolher o Serviço ACME da GlobalSign?
Let's Encrypt é ótimo. Eles são os criadores da ACME e fornecem um serviço inestimável para o resto da Internet. Mas as empresas e os provedores de serviços têm necessidades diversas. Eles estão procurando fornecer certificados em massa, portanto, certificados gratuitos de 90 dias têm menos utilidade do que ter suporte, acordos de nível de serviço (SLAs) e a capacidade de emitir certificados com validade mais longa.
É isso que diferencia a GlobalSign, ao passo que o uso de um serviço gratuito exige que você vasculhe os fóruns para saber o que é essencialmente suporte coletivo e opere sem SLAs – conosco você não precisa se preocupar com isso. Além disso, é impulsionado pelo Atlas, nossa AC em nuvem para grande volume e de última geração, oferecendo uma taxa de transferência incrível e disponibilidade 24 horas por dia, 7 dias por semana.
Com a GlobalSign, você obtém uma autoridade certificadora confiável no mundo todo e um provedor de serviços de confiança da UE com mais de 25 anos de experiência neste setor. Não circulamos entre empresas de capital de risco, não somos obcecados com o valuation de nossa empresa (e nossos preços refletem isso) e não temos participação em várias outras linhas de negócios. PKI é o que fazemos e é tudo o que sabemos – somos péssimas companhias para se conversar em festas. Mas é ótimo conversar conosco caso precise de ajuda para começar a usar nosso Serviço ACME ou de suporte ao longo do caminho.
Como o ACME funciona?
O ACME é uma estrutura muito leve para automatizar o ciclo de vida de SSL/TLS. O ACME em si é um protocolo, as empresas selecionam um cliente com base em suas próprias necessidades. Cada ambiente de rede é diferente – as empresas usam servidores e requisitos diferentes. A beleza do ACME é que você consegue encontrar o cliente certo, independentemente do tipo de servidor.
Alguns dos clientes do ACME mais populares são:
- Certbot
- ACMESharp
- acme-client
- GetSSL
- Posh-ACME
- Caddy
- Sewer
- nginx ACME
Há também um chamado Peter SSLers, homenagem ao ator famoso por seus papéis em Dr. Fantástico e A Pantera Cor-de-Rosa, que, como a GlobalSign, também vem de Portsmouth – contudo, ele vem da Inglaterra, não de New Hampshire..
Os clientes são geralmente de código aberto e gratuitos. O Serviço ACME da GlobalSign suporta qualquer cliente que use o padrão IETF ACME. Depois que um cliente é selecionado, os agentes são instalados e configurados em cada endpoint que você protegerá.
Qual é a diferença entre cliente ACME e um agente?
Excelente pergunta – o cliente recorre à estrutura que garante que um tipo específico de servidor possa se comunicar com a GlobalSign – o agente é a parte desse sistema que atua em nome desse servidor fazendo coisas como fornecer uma CSR e passar em um teste de validação de domínio.
Agora vamos finalmente entender como o ACME funciona.
Criando uma Conta ACME
Depois que todos os agentes estiverem instalados, eles interagem com a GlobalSign e se autenticam (provam que estão autorizados a agir em nome do servidor) usando o recurso do ACME chamado Vinculação de Conta Externa (EAB, External Account Binding ) para vincular a chave pública do agente à respectiva conta Atlas. Isso é feito usando um Código de Autenticação de Mensagem ou uma chave MAC criptograficamente segura que é gerada pela GlobalSign para assinar o par de chaves da conta. A partir de então, todas as mensagens são assinadas com esse par de chaves que permite emissão e revogação seguras. Tudo isso é feito através do portal Atlas da GlobalSign.
Quando tudo estiver pronto, a mágica começa. Isso é um exagero, pois não é bem assim – na verdade, é menos gigantesco.
Solicitando um certificado SSL/TLS
Depois que os agentes estiverem instalados em seus respectivos servidores da Web e estiverem vinculados à sua conta Atlas, eles poderão começar a solicitar certificados SSL/TLS. Eu sei que você olhará apenas o diagrama, mas para fornecer a informação completa (e SEO), incluirei a descrição também. Lembre-se de que condensamos algumas etapas e simplificamos um pouco:
- O agente envia uma solicitação de pedido e a assina digitalmente com o par de chaves da sua conta
- A AC Atlas de última geração da GlobalSign envia um desafio de validação de domínio para verificar se o agente está autorizado a agir em nome do servidor. As informações de validação de domínio podem ser reutilizadas por 397 dias.
- O agente envia uma resposta indicando que respondeu ao desafio de autorização, assinando-o novamente com o par de chaves da sua conta. O Atlas então faz a verificação.
- Após a verificação, o agente gera uma CSR em nome de seu servidor web e a envia ao Atlas após assiná-lo com o par de chaves da sua conta.
- O Atlas verifica a assinatura digital e a GlobalSign emite os certificados SSL/TLS.
- O agente recebe o certificado e o instala/configura no servidor.
A parte boa é que você não precisa fazer nada, tudo acontece silenciosamente, nos bastidores – e você não precisa pensar no assunto.
Algumas observações: primeiro, as renovações ocorrem da mesma maneira e, conforme mencionado acima, as informações de validação de domínio podem ser reutilizadas por 397 dias. Portanto, os certificados emitidos após a primeira validação de domínio podem ignorar os desafios de validação posteriores pelos próximos 397 dias. Considerando que a melhor prática é alterná-los com mais frequência do que uma vez por ano em nome de uma postura de segurança aprimorada e maior agilidade de criptografia, o ACME oferece uma maneira muito conveniente de se fazer isso.
Além disso, a GlobalSign suporta tanto os desafios de validação de domínios baseados em DNS quanto em HTTP. Um desafio de DNS envolve a atualização de uma parte específica do registro DNS de um website com um valor fornecido pela GlobalSign. Da mesma forma, a validação baseada em HTTP envolve colocar esse valor em um arquivo .txt em algum lugar de seu website.
Revogando um certificado
Em seguida, ocorre a revogação, especialmente quando sua rotação envolve a troca de certificados com mais frequência do que uma vez por ano e você inevitavelmente revogará alguns certificados. Este também é o caso de certificados comprometidos e uma série de outros problemas relacionados a certificados. O ACME facilita tudo. Veja como:
- O agente gera uma solicitação de revogação em nome do servidor e a assina digitalmente com a chave da conta ou a chave privada do certificado TLS que você deseja revogar.
- O Atlas verifica a assinatura digital.
- A GlobalSign revoga o certificado.
- A GlobalSign publica o certificado revogado nas Listas de Revogação de Certificados (CRLs) e no Protocolo de Status de Certificados Online (OCSPs) necessários.
Como você pode usar o ACME?
O serviço ACME da GlobalSign representa um incrível passo inicial em direção à automação para qualquer empresa. Acabar com o estresse e o incômodo de gerenciar certificados SSL/TLS, reduz boa parte do trabalho da equipe de TI e evita possíveis armadilhas atreladas ao gerenciamento de certificados públicos. O erro humano pode fazer com que os certificados expirem antes de serem substituídos e isso pode causar inúmeros problemas.
- Interrupções/tempo de inatividade – Se você não conseguir acessar um determinado site ou servidor, ninguém poderá usá-lo. Independentemente de ser uma vitrine de um site de comércio eletrônico, um portal de rede para funcionários remotos ou um servidor de videogame, haverá perda de produtividade e receita – ou de forma mais sucinta: dinheiro.
- Prejuízo à marca – Você fica chateado com sua operadora de telefonia quando uma chamada cai ou quando a rede está com o sinal fraco. Quando se trata de sites e serviços on-line, não é muito diferente. Talvez você não ache que ficar indisponível por algumas horas seja algo corriqueiro, mas seus clientes terão uma opinião bem distinta. Seus funcionários podem não se importar tanto – embora nunca admitam isso
- Questões de conformidade/regulamentares – Dependendo de sua localização ou setor, existem certas exigências relacionadas à TLS/HTTPS e segurança cibernética geral. Expirações não planejadas podem causar problemas de conformidade. Mesmo que não representem multas, podem colocá-lo na mira das regulamentações, o que não é exatamente o ideal.
Além disso, depois de compreender a praticidade de se automatizar os ciclos de vida de SSL/TLS, você se perguntará quais outras partes da PKI de sua empresa podem ser automatizadas em seguida. Faz uma diferença monstruosa – especialmente em larga escala.
Quer falar com a GlobalSign sobre ACME?
Que maravilha, nossos vendedores estão aguardando seu e-mail ou ligação. Literalmente, eles estão de pé. Nós não compramos cadeiras para eles – é assim que mantemos nossos preços baixos e nosso pessoal de pé (literalmente). Brincadeira! Na verdade, eles estão prontos para falar sobre nossa automação e como nosso Serviço ACME pode oferecer inúmeros benefícios para sua empresa. Basta SOLICITAR UMA DEMONSTRAÇÃO e teremos alguém para entrar em contato com você.
Ou então, você sempre pode pegar o telefone e nos ligar. Ou será que isso é estranho hoje em dia? De qualquer forma, estamos prontos para falar sobre ACME e automação sempre que você quiser!