Para os administradores utilizar ou não uma ferramenta de automação para a emissão, revogação e renovação dos certificados não é mais opcional. E para que os administradores entendam um pouco mais sobre essas ferramentas, trazemos a seguir um resumo dos diversos protocolos de administração dos certificados SSL. A má administração dos certificados pode deixar vulneráveis organizações de todos os portes e atividades
Em função da nova política que envolve os certificados SSL- Secure Sockets Layer quanto a redução do seu ciclo de vida, nunca foi tão importante e fundamental que as empresas tenham ferramentas de administração dos certificados digitais.
O CA/B Fórum ainda não bateu o martelo para os procedimentos que envolvem essa política, mas o que existe de certo é que provavelmente ainda em setembro de 2023 a validade dos certificados SSL/TLS passará a ser de 90 dias ao invés de 368 dias.
A maioria da Autoridades Certificadoras internacionais já trabalham com ferramentas de gestão de certificados para grandes volumes, mas diferentemente a Trustcert atende o mercado das grandes corporações e de pequenas e médias empresas sem custos adicionais.
Automatic Certificate Management Environment (ACME)
Este é o protocolo embarcado nas soluções de administração da Trustcert. O ACME – Automatic Certificate Management Environment – em português – Ambiente de Gerenciamento Automático de Certificados descrito na Internet na RFC 8555 – Request for Comments Engineering Task Force (IETF) – permite perfeitamente a solicitação de certificado de autenticação do servidor, emissão, instalação e renovação contínua em muitas implementações de servidor Web com um amplo conjunto de opções de cliente bem documentadas que abrangem vários idiomas e plataformas.
Ao contrário das implementações proprietárias, o ACME é aberto e se beneficia da inovação contínua e dos aprimoramentos de um conjunto robusto de participantes do ecossistema.
Embora o ACME não seja o primeiro método de automatizar a emissão e o gerenciamento de certificados (por exemplo CMP, EST, CMC e SCEP), ele rapidamente se tornou o mais utilizado.
Outros Protocolos de Automação de SSL
1 – CMP – Protocolo de Gerenciamento de Certificados
O Certificate Management Protocol (CMP) é um protocolo da Internet padronizado pela IETF – usado para obter certificados digitais X.509 em uma infraestrutura de chave pública (PKI).
A Internet Engineering Task Force – IETF, fundada em 1986, é a principal organização de desenvolvimento de padrões SDO – Standards Development Organizations – para a Internet.
CMP é um protocolo muito rico e flexível em recursos, suportando qualquer tipo de criptografia.
As mensagens CMP são autocontidas, o que, ao contrário do protocolo EST, torna o protocolo independente do mecanismo de transporte e fornece segurança de ponta a ponta.
As mensagens CMP são codificadas em ASN.1 que é uma notação formal usada para descrever dados transmitidos por protocolos de telecomunicações usando o método DER – Distinguished Encoding Rules que representam Regras de codificação distintas.
2 – EST – Enrollment over Secure Transport
O Enrollment over Secure Transport ou EST é um protocolo criptográfico que descreve um protocolo de gerenciamento de certificados X.509 direcionado à clientes de infraestrutura de chave pública (PKI) que precisam adquirir certificados de cliente e certificados de autoridade de certificação (CA) associados. O EST é descrito na RFC 7030, documento elaborado pela IETF Internet Engineering Task Force.
O EST foi apresentado como o substituto para o Protocolo de Registro de Certificado Simples sendo mais fácil de implementar em dispositivos que já possuem uma pilha de HTTPS.
A EST usa HTTPS como transporte e aproveita TLS – Transport Layer Security para muitos de seus atributos de segurança. Descreveu URLs padronizadas e usa as URLs codificadas na RFC 5785
3 – Certificate Management over CMS – CMC
O Certificate Management over CMS (CMC) é um padrão da Internet publicado pela IETF, definindo mecanismos de transporte para a sintaxe de mensagem criptográfica (CMS). É definido na RFC 5272, seus mecanismos de transporte na RFC 5273.
Da mesma forma que o CMP – Certificate Management Protocol, ele pode ser usado para obter certificados digitais X.509 em uma PKI (infraestrutura de chave pública. O CMS é um dos dois protocolos que utilizam o Certificate Request Message Format (CRMF), descrito na RFC 4211, sendo o outro protocolo o CMP.
O protocolo EST Enrollment over Secure Transport pode ser considerado como um perfil do CMC para o uso no provisionamento de certificados para entidades finais.
4 – Protocolo de Registro de Certificado Simples – SCEP
O protocolo SCEP (Simple Certificate Enrollment Protocol) é descrito pela RFC 8894 informativa. Versões mais antigas desse protocolo se tornaram um padrão industrial de fato para o provisionamento pragmático de certificados digitais, principalmente para equipamentos de rede.
5 – Simple Certificate Enrollment Protocol (SCEP)
É um protocolo PKI que aproveita a tecnologia existente usando a sintaxe de mensagem criptográfica (CMS, anteriormente conhecida como PKCS #7) e PKCS #10 sobre HTTP.
O SCEP é a evolução do protocolo de registro patrocinado pela Cisco Systems, que possui amplo suporte em implementações de clientes e servidores, além de ser utilizado por vários outros padrões da indústria que trabalham com certificados.
Voltando ao protocolo ACME…
Hoje, mais de 50% dos certificados emitidos pela Web PKI dependem do ACME.
Além disso, aproximadamente 95% dos certificados emitidos pela Web PKI atualmente são emitidos por um proprietário de CA com alguma forma de implementação ACME existente disponível para os clientes.
Uma pesquisa recente realizada pelo Chrome Root Program indicou que a maioria das Autoridades Certificadoras relata aumento da demanda dos clientes por serviços ACME e nenhum entrevistado declarou a diminuição da demanda pela ferramenta de administração.
A utilização do sistema ACME traz benefícios ao movimento de internet Segura. São eles:
- promove a agilidade do ecossistema,
- aumenta a resiliência para proprietários de CA e proprietários de sites
- ajuda os proprietários de sites a lidar com os desafios de escala e complexidade relacionados à emissão de certificados,
- impulsiona a inovação por meio de aprimoramentos contínuos e suporte de uma comunidade aberta,
- facilita a transição para algoritmos resistentes ao quantum, e
- posiciona melhor o ecossistema de PKI da Web para gerenciar riscos de forma que, historicamente, outras tecnologias de automação não foram capazes de realizar.
Um dos pontos em destaque do protocolo ACME é a ARI – Renewal Information Extension – Extensão de Informações de Renovação.
Para dar suporte às Informações de Renovação do ACME está sendo escrita uma RFC. Por enquanto em forma de rascunho – Draft RFC.
Este documento especifica como um servidor ACME pode fornecer sugestões aos clientes ACME sobre quando eles devem tentar renovar seus certificados.
A Extensão de Informações de Renovação ARI, permite que os servidores reduzam os picos de carga e garante que os clientes não façam suposições falsas sobre os períodos apropriados de renovação do certificado.
Com a ARI habilitado, os proprietários de CA poderão reduzir os impactos adversos ao cliente causados por eventos de revogação não planejados e, de outra forma, melhorar o gerenciamento de recursos relacionados às atividades de renovação.
A ARI parece um recurso promissor como um mecanismo para fornecer às Autoridades Certificadoras e sites uma resposta mais perfeita à transição para algoritmos resistentes ao quantum sem exigir recursos do ecossistema e suporte para recursos provisórios ou possivelmente inseguros.
Traga todas as suas dúvidas sobre o novo ciclo de vida dos certificados SSL para a nossa equipe. Trabalharemos junto com você para que sua empresa não tenha nenhum tipo de impacto por essa nova forma de administrar os certificados digitais SSL de 90 em 90 dias. Com a Trustcert você vai resolver essa questão indo direto ao ponto!
Sobre TrustCert
O principal objetivo do lobo é proteger aqueles que estão sob sua guarda!
Sua postura inspira confiança, respeito e segurança da mesma forma que o certificado Trustcert, que com astúcia, inteligência e sociabilidade protege o seu site como um lobo faz com sua alcateia
Trustcert – O certificado SSL com tudo que você precisa, direto ao ponto!
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.