Beperkingen van AWS Certificate Manager: Waar ACM tekortschiet voor Enterprise PKI

AWS Certificate Manager (ACM) is een beheerde service die certificaten levert, implementeert en vernieuwt. TLS/SSL-certificaten voor AWS-geïntegreerde services. Het is de standaard startpunt geworden voor TLS-certificaten in het AWS-ecosysteem, en met goede reden: het is gratis voor geïntegreerde services, volledig beheerd en in feite onzichtbaar zodra het is geconfigureerd. Maar certificaatbeheer blijft zelden netjes binnen de AWS-grenzen.

Naarmate bedrijven hun workloads spreiden over meerdere clouds, on-premises infrastructuur en een groeiend aantal certificeringsinstanties, verschuift de vraag van "Is ACM goed?" naar "Waar houdt ACM op voldoende te zijn?". Deze blog beantwoordt die vraag. Het brengt in kaart waar ACM daadwerkelijk thuishoort en wat de praktische beperkingen zijn. PKI Teams lopen tegen problemen aan zodra ze de native AWS-services verlaten, de economische beperkingen die daaraan ten grondslag liggen, en hoe een leveranciersneutraal CLM-platform de hiaten opvult, vooral nu de geldigheidsduur van certificaten korter wordt en de transitie na het kwantumtijdperk de druk verhoogt.

Waar ACM wel en waar het niet past

Als uw volledige workload zich achter een Application Load Balancer bevindt, met Amazon CloudFront als front-end en beschikbaar via Amazon API Gateway, is AWS Certificate Manager (ACM) werkelijk moeilijk te overtreffen. Het verstrekt gratis openbare TLS-certificaten voor deze geïntegreerde services, zorgt voor de verlenging ervan en de operationele overhead is vrijwel nihil. Voor teams die volledig met AWS werken en een beperkte infrastructuur hebben, is het een van de betere beheerde services die AWS te bieden heeft.

De problemen beginnen zodra uw certificaatbeheer de AWS-grens overschrijdt. De meeste bedrijven waarmee we bij Encryption Consulting samenwerken, zijn geen pure AWS-klanten. Ze gebruiken een mix van on-premises Microsoft AD CS, externe certificeringsinstanties zoals DigiCert of Entrust voor publiek vertrouwde certificaten, HashiCorp Vault PKI voor service mesh- en DevOps-workloads, en een groot aantal workloads op F5 BIG-IP, NGINX, Apache Tomcat en IIS die niets met AWS te maken hebben.

Volgens het State of the Cloud Report 2024 van Flexera heeft ongeveer 89% van de bedrijven multi-cloud geïmplementeerd, en Gartner voorspelt dat meer dan 90% van de organisaties in 2027 een hybride cloud zal gebruiken. In die wereld is een CLM-tool die slechts één cloudprovider in één regio kan beheren, op zijn best een gedeeltelijke oplossing.

Deze blog bespreekt de praktische beperkingen van ACM waar PKI-teams daadwerkelijk tegenaan lopen tijdens implementaties in grote bedrijven, de economische aspecten ervan en hoe een leveranciersneutraal CLM-platform zoals dat van Encryption Consulting hierbij kan helpen. CertSecure Manager Het vult de gaten op die ACM openlaat.

ACM versus AWS Private CA: een korte opfrissing

Voordat we verdergaan, is het goed om twee AWS-services die vaak door elkaar worden gehaald, van elkaar te scheiden. AWS heeft in september 2022 de naam van "ACM Private CA" gewijzigd in "AWS Private CA", en dit onderscheid is belangrijk wanneer u prijsinformatie bekijkt of inschrijvingsprocessen ontwerpt.

AWS Certificate Manager (ACM) is de lifecycle-service. Het geeft openbare TLS-certificaten uit, implementeert ze en verlengt ze via de openbare CA van Amazon. Daarnaast fungeert het als beheerlaag voor privécertificaten die zijn uitgegeven door AWS Private CA. Openbare certificaten die uitsluitend via ACM worden gebruikt met geïntegreerde AWS-services (ELB, CloudFront, API Gateway, App Runner en vergelijkbare services) zijn gratis.

AWS Private CA is de beheerde infrastructuur voor privé-CA's. Het voert uw CA-hiërarchie uit op FIPS 140-2 Hardwarematig beveiligde sleutels, maar u betaalt een maandelijks bedrag per CA plus kosten per uitgegeven certificaat.

De onderstaande beperkingen gelden voor beide, omdat ze voor de meeste teams als één geheel worden aangeboden.

De praktische beperkingen van AWS Certificate Manager

1. Het gratis openbare certificaat was nooit echt van jou.

Het belangrijkste kenmerk van ACM is het gratis openbare TLS-certificaat, maar de privésleutel voor een 'standaard' openbaar ACM-certificaat kan niet worden geëxporteerd. Het certificaat kan alleen worden gekoppeld aan ACM-geïntegreerde AWS-services. Als uw TLS-eindpunt iets anders is (een EC2-instantie met NGINX, een on-premises F5, een Azure App Service, een GCP-loadbalancer, een CDN van een derde partij, een hardware-appliance), kan het gratis ACM-certificaat daar simpelweg niet worden ingezet. U zult uiteindelijk parallelle workflows moeten uitvoeren: één door ACM beheerde workflow voor AWS-geïntegreerde services en een volledig apart proces voor al het andere. Dat leidt tot operationele schulden die zich opstapelen.

AWS gedeeltelijk aangepakt In juni 2025 komen er exporteerbare openbare certificaten beschikbaar, waarmee je de privésleutel kunt downloaden en het certificaat overal kunt gebruiken. De flexibiliteit is aanzienlijk, maar de economische gevolgen veranderen drastisch:

• $7 per volledig gekwalificeerde domeinnaam (FQDN), te berekenen bij uitgifte en opnieuw bij elke verlenging.
• $79 per wildcard-naam (bijvoorbeeld *.yourdomain.com), wederom bij uitgifte en bij elke verlenging.
• ACM-certificaten hebben een maximale geldigheidsduur van 13 maanden en moeten na 11 maanden worden verlengd, wat betekent dat verlengingen tegenwoordig ongeveer één keer per jaar plaatsvinden.

Dat lijkt bescheiden totdat je de berekening op bedrijfsniveau maakt. Met de CA/Browser Forum's Door de gefaseerde verkorting van de geldigheidsduur (200 dagen vanaf maart 2026, 100 dagen vanaf maart 2027, 47 dagen vanaf maart 2029) zullen verlengingen binnen drie jaar van jaarlijks naar ongeveer elke zes weken gaan. Vermenigvuldig dat met 500 of 5,000 FQDN's en de "gratis certificaatbeheerder" wordt een terugkerende kostenpost per certificaat die lineair oploopt met het aantal certificaten.

De conclusie is niet dat exporteerbare certificaten onredelijk zijn, maar dat het prijsmodel van ACM is ontworpen voor intern gebruik binnen AWS. Zodra je het daarbuiten brengt, verandert het kostenmodel fundamenteel en betaal je per certificaat kosten bovenop de automatiseringsinfrastructuur die je nog moet bouwen voor de implementatie.

2. Automatisering stopt bij de AWS-grens.

Binnen AWS is ACM uitstekend. Vernieuwingen op ELB, CloudFront, API Gateway en vergelijkbare services worden geruisloos afgehandeld. Het certificaat wordt vernieuwd, de geïntegreerde service neemt het nieuwe certificaat over en de operator hoeft verder niets te doen.

Buiten AWS implementeert ACM niets. Voor een exporteerbaar certificaat bestemd voor een on-premises F5, een NGINX-server, een Citrix ADC, een Kubernetes-ingress die niet in EKS is opgenomen, of een ander niet-AWS-eindpunt, eindigt de verantwoordelijkheid van ACM bij de API-aanroep. U kunt zich abonneren op Amazon EventBridge voor meldingen over verlenging, maar de daadwerkelijke provisioning, sleutelrotatie op het apparaat, het koppelen van de virtuele server aan de load balancer, het herstarten van de luisterende service en de validatie van het nieuwe certificaat zijn volledig uw verantwoordelijkheid.

Dat betekent aangepaste scripts, aangepaste IAM-beleidsregels, aangepaste foutafhandeling en een aangepast auditlogboek. Elk team dat we hebben geholpen dit te bouwen, komt uiteindelijk neer op het opnieuw uitvinden van hetzelfde controlepaneel: een wachtrij met certificaatgebeurtenissen, een worker die het nieuwe certificaat ophaalt, een connectorbibliotheek voor elk type doel-eindpunt, een herhalingsmechanisme voor gedeeltelijke fouten en een terugdraaiplan voor het geval het nieuwe certificaat de applicatie onbruikbaar maakt. Dat is precies wat een speciaal daarvoor ontworpen CLM-platform hoort te doen, en dat is precies wat ACM niet doet zodra je de AWS-edge verlaat.

3. De voorraad is gefragmenteerd per account en regio.

De inventaris van ACM is beperkt tot één AWS-account en één regio. Als u met 12 accounts en 4 regio's werkt, moet u 48 logische certificaatinventarissen bijhouden, en er is geen native overzicht op één dashboard dat deze allemaal combineert.

De beperking van CloudFront maakt dit nog erger. Zelfs als uw applicatie volledig in ap-south-1 of eu-west-1 draait, CloudFront vereist dat het certificaat zich in us-east-1 bevindt.Een typische implementatie in meerdere regio's houdt dus hetzelfde logische certificaat in twee regio's bij: één in us-east-1 voor het CDN en één in de regio van de applicatie zelf voor de load balancer. Er is geen automatische synchronisatie, geen gedeelde inventaris en geen native overzicht van certificaten in meerdere regio's. In de praktijk krijgen identieke domeinen afzonderlijke certificaten die onafhankelijk van elkaar worden uitgegeven en verlengd, zonder dat er een inventaris is die ze met elkaar verbindt.

Voor beveiligings- en auditteams is deze fragmentatie een groot probleem. Je kunt geen organisatiebreed beleid afdwingen ("geen RSA-2048-certificaten na 1 januari 2027" of "alle certificaten moeten een geregistreerde eigenaar hebben") als er geen centrale inventaris is om op te controleren. Je kunt geen cryptografische beveiligingsbeoordeling uitvoeren voorafgaand aan de implementatie van een nieuwe certificering. post-kwantummigratie Als je niet kunt zien wat je hebt. En schaduwcertificaten, die certificaten die een ontwikkelaar twee jaar geleden heeft aangevraagd in een regio die niemand meer controleert, zijn precies de oorzaak van de storingen op zaterdagavond.

4. De prijzen van AWS Private CA's lopen snel op.

De gepubliceerde prijzen van AWS Private CA Het is eenvoudig, maar de cijfers lopen sneller op dan de meeste teams verwachten:

• $400 per privé-CA per maand voor algemeen gebruik (ongeacht de geldigheidsperiode)
• $50 per particuliere CA per maand voor de kortlopende certificaatmodus (maximale geldigheidsduur van 7 dagen)
• Tarieven per certificaat bij een algemene certificeringsinstantie (CA): $0.75 voor de eerste 1,000, $0.35 voor de volgende 9,000 en $0.001 boven de 10,000.
• $0.06 per certificaat per maand voor OCSP-reacties (alleen gefactureerd voor certificaten die daadwerkelijk OCSP-vragen ontvangen)

Voor een typische hiërarchie met twee niveaus (één offline root-CA en één online uitgevende CA) betaalt u $ 800 per maand, nog voordat er één certificaat wordt uitgegeven. Voeg daar hoge beschikbaarheid tussen regio's aan toe en de kosten kunnen gemakkelijk oplopen tot $ 1,600 à $ 2,400 per maand. Voor een productie- of IoT-toepassing waarbij 50,000 apparaatcertificaten per maand worden uitgegeven, zijn de kosten per certificaat redelijk dankzij de volumekorting, maar de maandelijkse kosten per CA schalen niet naar beneden: elke regionale CA, elke afzonderlijke vertrouwenshiërarchie en elke testomgeving kost hetzelfde vaste bedrag van $ 400 per maand.

Vergelijk dit met een zelfgehoste oplossing. Microsoft AD CS-hiërarchiewaarbij de marginale kosten per certificaat na de initiële implementatie feitelijk nul zijn, of een beheerde PKI-oplossing waarbij de kosten anders worden afgeschreven. AWS Private CA is handig, maar niet de goedkoopste optie, en het kostenmodel beloont consolidatie in één enkele CA in plaats van de functiescheiding die veel beveiligingsteams eigenlijk willen.

5. Compliance-rapportage is een doe-het-zelf-klus.

ACM produceert geen standaard nalevingsrapporten op certificaatniveau voor PCI DSS, HIPAA, SOC 2, DORAof een ander framework. AWS biedt aanvullende mogelijkheden (AWS Config-regels kunnen niet-conforme ACM-certificaten detecteren, Security Hub heeft standaardtoewijzingen die bevindingen signaleren, AWS Artifact levert de AWS-serviceniveau-nalevingsrapporten), maar geen van deze is een kant-en-klare oplossing die per afdeling de auditklare status van elk certificaat weergeeft, wie de eigenaar is, welk algoritme het gebruikt, wanneer het verloopt en of het bij uitgifte van het beleid is afgeweken.

Voor een gereguleerde onderneming komt die lacune aan het licht tijdens een audit. Het compliance-team vraagt: "Stel een rapport samen van elk TLS-certificaat dat onder de scope valt, met de sleutellengte, SAN-vermeldingen, eigenaar, uitgevende CA, vervaldatum en naleving van het beleid." Met ACM alleen moet je dat rapport samenstellen uit een mix van describe-certificate-aanroepen, aangepaste Lambda-functies, AWS Config-exports en een handmatig bewerkte spreadsheet. De volwassen CLM-workflow is om met één druk op de knop het rapport te ontvangen, dat wekelijks gepland staat en in de inbox van de auditor wordt bezorgd.

6. Vendor lock-in belemmert crypto-flexibiliteit

De komende jaren komen twee belangrijke verschuivingen in de sector samen, en beide vereisen flexibiliteit op het gebied van crypto:

• Het CA / Browser Forum Stembiljet SC-081v3De in april 2025 goedgekeurde regelgeving verkort de maximale geldigheidsduur van publieke TLS-certificaten van 398 dagen nu naar 200 dagen (maart 2026), 100 dagen (maart 2027) en 47 dagen (maart 2029). De periode waarin domeinvalidatie kan worden hergebruikt, daalt naar 10 dagen in maart 2028.
• NIST's post-kwantumcryptografie Volgens de transitieplanning moeten organisaties de verouderde RSA- en ECC-systemen tegen 2030 uitfaseren en tegen 2035 volledig vervangen. ML-DSA en ML-KEM (FIPS 204 en 203) zijn de nieuwe standaarden. AWS is begonnen met het toevoegen van ML-DSA-ondersteuning aan AWS KMS en AWS Private CA, maar het bredere operationele verhaal van het vervangen van algoritmes binnen een hele omgeving omvat meer dan alleen één CA.

Crypto-behendigheid De mogelijkheid om CA's, algoritmen, sleutelgroottes, geldigheidsperioden en implementatiedoelen te wisselen zonder uw controlelaag opnieuw te hoeven ontwerpen. Als uw certificaatbeheer architectonisch gebonden is aan één provider, beschikt u niet over crypto-flexibiliteit, maar over een afhankelijkheid. Op het moment dat AWS een prijsmodel wijzigt, een servicecontract aanpast, een functie uitfaseert of uw businesscase verandert en u workloads naar Azure of GCP moet verplaatsen, zijn de kosten voor het loskoppelen van die afhankelijkheid gelijk aan de kosten voor het opnieuw opbouwen van uw CLM-stack. Dat is een slechte uitgangspositie voor zowel de toekomst als de toekomst. 47-dag mandaat en de PQC-migratie.

De verplichte 47-dagenperiode maakt elke lacune scherper.

Alles hierboven wordt lastiger naarmate de geldigheidsduur van certificaten korter wordt. Tegenwoordig wordt een typisch TLS-certificaat jaarlijks vernieuwd. In maart 2026 wordt dat ongeveer elke zes en een halve maand. In maart 2027 elke drie en een halve maand. In maart 2029 elke zes en een halve week.

Dat is een achtvoudige toename van de verlengingsfrequentie in minder dan drie jaar. Elke lacune in de automatisering van ACM, elke regio die je afzonderlijk moet controleren, elk eindpunt buiten de AWS-grens dat een handmatig implementatiescript vereist, elk compliance-rapport dat je handmatig samenstelt: al deze zaken schalen lineair met de verlengingsfrequentie. Een workflow die vervelend is bij een geldigheidsduur van 12 maanden, wordt operationeel onhoudbaar bij 47 dagen.

Dit is precies de reden waarom het gesprek in de branche zo sterk is verschoven naar closed-loop, leveranciersneutrale CLM-systemen. Niet omdat ACM slecht is, maar omdat gedeeltelijke automatisering simpelweg niet bestand is tegen grote volumes.

Hoe CertSecure Manager deze tekortkomingen aanpakt

CertSecure ManagerCertSecure Manager, het CLM-platform van Encryption Consulting, is ontwikkeld door PKI-specialisten die dagelijks met deze specifieke scenario's te maken hebben bij klantprojecten. Waar ACM stopt bij de AWS-grens, gaat CertSecure Manager verder:

• CertSecure Manager is een multi-CA-oplossing, ontworpen om leveranciersneutraal te zijn. Het maakt verbinding met Microsoft AD CS, AWS Private CA, HashiCorp Vault PKI, DigiCert, Entrust en andere openbare en private CA's via één console. U krijgt één inventaris, één beleidslaag en één verlengingswachtrij, ongeacht welke CA het certificaat heeft uitgegeven of in welke cloud de workload zich bevindt.
• Automatisering met gesloten lus, verder dan AWS. Vernieuwingsagents voor Apache, Tomcat, IIS, F5 BIG-IP, NGINX en aangepaste interne applicaties verzorgen de implementatiestap die ACM niet uitvoert. De nieuwe CertSecure Manager Orchestrator voor F5Dit systeem, dat is ontwikkeld in het kader van ons partnerschap binnen het F5 Application Delivery and Security Platform Partner Program, koppelt elk certificaat automatisch aan het juiste SSL-profiel van de virtuele F5-server. Hierdoor is de handmatige koppelingsstap, die de meeste certificaatgerelateerde F5-storingen veroorzaakt, overbodig.
• Standaard registratieprotocollen. REST API- en ACME-eindpunten maken het mogelijk voor cloud-native en DevOps-workloads om zich automatisch te registreren, op dezelfde manier als bij Let's Encrypt of een standaard ACME-eindpunt. Dat betekent dat cert-manager in Kubernetes, certbot op een Linux-host of een aangepaste CI/CD-pipeline zich allemaal via hetzelfde protocol kunnen registreren.
• Gecentraliseerd inzicht in zowel de cloud als on-premises. Geautomatiseerde certificaatdetectie scant uw omgeving, bouwt een uniforme inventaris op voor AWS-accounts en -regio's, Azure, GCP, on-premises en Kubernetes-clusters, en toont eigendom, algoritme, geldigheid en beleidsnaleving voor elk certificaat in één dashboard.
• Handhaving en goedkeuring van beleid. Wereldwijd en afdelingsgericht beleid omvat de minimale sleutelgrootte, toegestane algoritmen, FIPS-goedgekeurde beperkingen, regels voor het gebruik van wildcards, regels voor hergebruik van CSR's, DNS-whitelisting voor domeinvalidatie en M-van-N-goedkeuringsworkflows voor sjablonen voor certificaten met hoge betrouwbaarheid. Dit beleid wordt gehandhaafd op het moment van uitgifte, niet achteraf.
• Auditklare compliance-rapportage. Geplande rapporten worden wekelijks of maandelijks naar de compliance-inbox verzonden, met de details op certificaatniveau die PCI DSS vereist. HIPAADit is wat er daadwerkelijk gevraagd wordt bij SOC 2- en DORA-audits. Geen handmatige export, geen samenvoeging van spreadsheets.
• Cryptografische flexibiliteit ingebouwd. Omdat CertSecure Manager CA-agnostisch is, is het vervangen van de onderliggende CA, het overstappen naar een nieuw sleutelalgoritme of het migreren van de ene provider naar de andere een beleidswijziging in plaats van een herstructurering. Dat is belangrijk met het oog op de 47-dagenperiode en de PQC-migratie.

Wanneer ACM voldoende is en wanneer niet.

Niet elk team heeft een volledig CLM-platform nodig. Hieronder een praktisch overzicht van situaties waarin ACM alleen volstaat en situaties waarin het niet meer voldoende is:

Scenario	ACM alleen	Leveranciersneutraal CLM
Eén AWS-account, één regio, volledig AWS-native workloads.	Ja	Nee
Minder dan 100 certificaten, allemaal voor ACM-geïntegreerde diensten.	Ja	Nee
Multicloud (AWS + Azure en/of GCP)	Nee	Ja
Hybride cloud met on-premise infrastructuur (AD CS, F5, NGINX, Apache, IIS)	Nee	Ja
Meer dan 1,000 certificaten verspreid over meerdere certificeringsinstanties en omgevingen.	Nee	Ja
Strikte naleving van regelgeving (PCI DSS, HIPAA, SOC 2, DORA, gereguleerde sectoren)	Nee	Ja
Kubernetes en gecontaineriseerde workloads verspreid over verschillende clouds	Nee	Ja
Voorbereiding op een geldigheidsduur van 47 dagen met alle niet-AWS-eindpunten.	Nee	Ja
Het aanpakken van PQC-migratie met een heterogene CA-omgeving	Nee	Ja

Het patroon is eenvoudig. ACM is voldoende wanneer de certificaatstatus beperkt, AWS-native en klein is. Zodra aan een van deze drie voorwaarden niet meer wordt voldaan, betaalt u de prijs voor het blijven gebruiken van alleen ACM in de vorm van operationele complexiteit, problemen met audits en een verhoogd risico op storingen.

Conclusie

ACM is een echt goede service binnen de kaders waarin het is ontworpen. De fout zit hem in de aanname dat die kaders overeenkomen met de realiteit van de onderneming. De meeste organisaties werken met meerdere clouds, meerdere certificeringsinstanties (CA's) en een groot aantal on-premises endpoints die ACM niet kan bereiken. De geldigheidsduur van 47 dagen voor TLS en de PQC-migratie zullen elk hiaat in de automatisering, zichtbaarheid en beleidshandhaving van ACM aanzienlijk pijnlijker maken dan het nu al is.

De juiste aanpak is om ACM te gebruiken waar het uitblinkt (gratis openbare certificaten op AWS-geïntegreerde services, probleemloze verlengingen binnen het AWS-platform) en daar bovenop een leveranciersneutraal CLM-platform te plaatsen voor alles waarvoor ACM nooit is ontworpen. Dat geeft je de operationele eenvoud van ACM waar het werkt, en de omgevingsoverschrijdende automatisering, governance en crypto-flexibiliteit die je overal elders nodig hebt.