Het ACME-protocol ontrafeld? 

In het snel evoluerende landschap van moderne bedrijfsactiviteiten is de automatisering van certificaat management is onmisbaar geworden. Dit geldt met name gezien de exponentiële groei van machine-identiteiten die nodig zijn voor diverse toepassingen zoals IoT-apparaten, cloudsystemen, API's, containers en applicaties. In deze blog onderzoeken we de cruciale rol van de Geautomatiseerde omgeving voor certificaatbeheer (ACME). 

Demystificatie van ACME

ACME, oftewel Automated Certificate Management Environment, is een communicatieprotocol dat is ontworpen om de complexe procedures voor certificaatuitgifte en domeinvalidatie te automatiseren. Het stelt organisaties in staat om moeiteloos een openbare sleutelinfrastructuur zonder dat gebruikersinteractie nodig is. Oorspronkelijk bedacht door de Internet Security Research Group (ISRG) voor hun Let's Encrypt-service, heeft ACME aanzienlijke verbeteringen ondergaan. 

De belangrijkste versies van ACME en hun respectievelijke mijlpalen zijn als volgt: 

1. ACMEv1 (12 april 2016)

   De eerste release van ACME was voornamelijk gericht op de uitgifte van certificaten voor één domein. Het markeerde het begin van ACME's reis in het automatiseren van certificaatbeheer.

2. ACMEv2 (13 maart 2018)

   ACMEv2 was een cruciale update die aanzienlijke veranderingen met zich meebracht. Het introduceerde ondersteuning voor Wildcard SSL/TLS-certificaten en verbeterde de gebruikerservaring door bestaande functies te stroomlijnen. ACMEv2 had als doel certificaatautomatisering veelzijdiger en gebruiksvriendelijker te maken.

3. ACME wordt RFC 8555 (11 maart 2019)

   Deze mijlpaal verhoogde de status van ACME door het te standaardiseren als RFC 8555. Het verstevigde de positie van ACME als erkend protocol voor het uitgeven en beheren van certificaten op internet.

4. Einde levensduur ACMEv1 (juni 2021)

   De officiële aankondiging van het einde van de levensduur van ACMEv1 markeerde de stopzetting ervan, waardoor gebruikers werden gedwongen over te stappen op het geavanceerdere ACMEv2-protocol. Deze wijziging zorgde ervoor dat ACME bleef aansluiten bij de veranderende beveiligingsvereisten.

Verkenning van het ACME Certificate Management Protocol 

ACME dient primair voor het verkrijgen van Domain Validated (DV)-certificaten, die een minimale verificatie ondergaan. DV-certificaten valideren alleen het bestaan ​​van het domein en vereisen geen handmatige tussenkomst. Hoewel ACME ook kan worden gebruikt voor het verkrijgen van certificaten met een hogere waarde, zoals Organization Validated (OV) en Uitgebreide validatie (EV), vereisen deze scenario's aanvullende ondersteuningsmechanismen in combinatie met de ACME-agent. 

De kerndoelstelling van het ACME-protocol draait om het tot stand brengen HTTPS servers en het automatiseren van vertrouwde certificaten, waardoor de kans op foutgevoelige handmatige procedures wordt geëlimineerd. Om het protocol te gebruiken, spelen twee essentiële componenten een rol: 

1. De ACME-client, operationeel op elke server of elk apparaat waarvoor een vertrouwde SSL/TLS-certificaat, initieert certificaatbeheeracties zoals uitgifte en intrekking.

2. De ACME-server, gelegen op een Certificate Authority (CA) zoals Let's Encrypt, reageert op de verzoeken van geautoriseerde klanten.

Let op: Communicatie tussen de client en de server vindt plaats via JSON-berichten via HTTPS.

ACME biedt flexibiliteit bij het kiezen van CA-providers, mits ze het protocol ondersteunen. Hoewel Let's Encrypt de gebruiksvriendelijke Certbot-client aanbeveelt vanwege de brede compatibiliteit en uitgebreide documentatie, zijn alternatieve ACME-clients zoals ACMESharp, acme-client, GetSSL en andere beschikbaar op platforms zoals GitHub, die inspelen op diverse voorkeuren en vereisten. 

ACME-clients configureren 

Voordat u ACME in uw bedrijfsvoering integreert, moet u een ACME-client selecteren. Er is een breed scala aan clientimplementaties beschikbaar die geschikt zijn voor verschillende programmeertalen en omgevingen. Het ontwerp van ACME biedt flexibiliteit bij het kiezen van CA's, mits ze het protocol ondersteunen. De stappen voor het instellen van een ACME-client zijn: 

1. De klant vraagt ​​de gebruiker om het domein op te geven dat hij/zij wil beheren.
2. De klant presenteert een selectie van Certificeringsautoriteiten (CA's) compatibel met het protocol.
3. Nadat de klant zijn keuze heeft gemaakt, wordt er verbinding gemaakt met de gekozen CA en wordt er een autorisatiesleutelpaar aangemaakt.
4. De CA doet verzoeken om DNS of HTTPS om te verifiëren of de klant controle heeft over zijn domein(en).
5. De CA verstrekt een nonce, een willekeurig gegenereerd nummer, dat de agent ondertekent met zijn privésleutel om te bevestigen dat hij eigenaar is van het sleutelpaar.

Hoe gebruikt u ACME om certificaten uit te geven en in te trekken? 

Voor uitgifte of verlenging, een webserver uitgerust met de ACME-agent genereert een Certificaatondertekeningsaanvraag (CSR), die vervolgens ter verwerking naar de CA wordt doorgestuurd.  

Hieronder volgen de stappen voor het uitgeven van een certificaat: 

1. De agent verstuurt een Certificate Signing Request (CSR) naar de CA, waarin de uitgifte van een certificaat voor het geautoriseerde domein wordt aangevraagd. Hierbij wordt een aangewezen openbare sleutel opgegeven.
2. De CSR wordt veilig ondertekend met de bijbehorende privésleutel en de geautoriseerde sleutel die aan het domein is gekoppeld.
3. Na ontvangst van het verzoek controleert de CA beide handtekeningen. Als alle controles succesvol zijn, geeft de CA een certificaat uit voor het geautoriseerde domein, gebruikmakend van de openbare sleutel die in de CSR is gespecificeerd, en stuurt dit onmiddellijk terug naar de agent.

Hieronder staan ​​de stappen die betrokken zijn bij de certificaatintrekking werkwijze: 

De agent start het certificaatintrekkingsproces door gebruik te maken van het geautoriseerde sleutelpaar dat aan het domein is gekoppeld om een ​​intrekkingsverzoek te doen.

1. Dit intrekkingsverzoek wordt ondertekend met het sleutelpaar om de benodigde authenticatie te bieden.
2. De CA ontvangt het verzoek tot intrekking en voert een grondige validatie uit om de autorisatie te bevestigen.
3. Zodra de CA de autorisatie heeft bevestigd en het verzoek tot intrekking heeft gevalideerd, onderneemt deze actie om te voorkomen dat het ingetrokken certificaat wordt geaccepteerd.
4. Om dit te bereiken verspreidt de CA de intrekkingsinformatie via algemeen erkende intrekkingskanalen, zoals: Certificaatintrekkingslijsten (CRL's) of het Online Certificate Status Protocol (OCSP).

De voordelen en toepassingen van het ACME-protocol ontsluiten

De visie van het ACME-initiatief, gesteund door ISRG, draait om het bereiken van een 100% HTTPS-web, waarbij het cruciale belang van encryptie wordt benadrukt. ACME bereikt dit door de aanschaf en het beheer van certificaten te automatiseren, de implementatie van HTTPS te vereenvoudigen en PKIX-gebaseerde authenticatie voor een breed scala aan TLS-protocollen te verbeteren. 

ACME biedt een scala aan voordelen: 

1. Het is gratis, waardoor iedereen met een domeinnaam een ​​vertrouwd certificaat kan verkrijgen zonder financiële beperkingen.
2. Het automatiseert de volledige levenscyclus van certificaten, van uitgifte en vernieuwing tot intrekking.
3. Het bevordert de implementatie van best practices voor TLS-beveiliging voor CA's en site-exploitanten.
4. Het functioneert als een open standaard en bevordert een brede acceptatie.
5. Het vertegenwoordigt een gezamenlijke inspanning die de invloed van één enkele organisatie overstijgt

Hoewel er discussies kunnen ontstaan ​​over de veiligheid van gratis certificaten die via ACME worden verkregen, zijn de geldigheid en veiligheid van certificaten in de praktijk afhankelijk van technische criteria en niet zozeer van de kosten.

Waarom is ACME beter dan andere protocollen voor certificaatautomatisering? 

ACME onderscheidt zich van andere protocollen voor certificaatautomatisering door zijn status als open standaard, robuuste foutverwerkingsmogelijkheden, naleving van best practices in de branche voor TLS- en PKI-beheer, continue ondersteuning door een toegewijde community, flexibiliteit in het gebruik van back-up-CA's en kosteneffectiviteit. In tegenstelling tot alternatieve protocollen biedt ACME een uitgebreide, veilige en collaboratieve aanpak, waardoor het de voorkeurskeuze is voor ondernemingen. 

Certificaatbeheer verbeteren met CertSecure Manager 

CertSecure Manager is een geavanceerde oplossing die certificaatbeheer vereenvoudigt met een gecentraliseerd platform. Het automatiseert de volledige levenscyclus van certificaten, van uitgifte tot verlenging en intrekking, waardoor het risico op fouten en beveiligingsproblemen wordt verminderd. CertSecure Manager handhaaft consistent beveiligingsbeleid, biedt realtime monitoring en waarschuwingen en integreert naadloos met de bestaande infrastructuur. Deze automatisering verbetert de beveiliging en schaalbaarheid voor organisaties van elke omvang in het huidige digitale landschap. 

Conclusie 

Het omarmen van ACME is niet alleen een stap naar een veiligere online omgeving, maar ook een grote stap in de richting van een veiligere, efficiëntere en kosteneffectievere aanpak van certificaatbeheer.