Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 57

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Das ACME-Protokoll hat den Umgang mit SSL-Zertifikaten für Zertifizierungsstellen und Admins enorm erleichtert. In Kürze geht Version 2 an den Start; erstmals als IETF-Standard.

Aus dem durch die Gratis-CA Let's Encrypt bekannten ACME-Protokoll wird ein IETF-Standard. Eine Arbeitsgruppe entwickelt derzeit eine erweiterte Version des ursprünglichen Protokolls, die besser auf die Bedürfnisse anderer SSL-Zertifizierungsstellen (Certificate Authorities, CAs) eingehen soll. Die Umsetzung ist offenbar weit vorangeschritten: Let's-Encrypt-Chef Josh Aas erklärte, dass seine CA schon im Januar kommenden Jahres das überarbeitete ACME-Protokoll unterstützen soll. Die alte Version möchte er langfristig ausmustern, derzeit lägen aber noch nicht ausreichend Daten vor, um einschätzen zu können, wann der geeignete Zeitpunkt ist.

Anzeige
Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat.
Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat.

ACME steht in diesem Fall nicht für die fiktive Firma, bei der Wile E. Coyote seine knallroten Raketen kauft, sondern für Automated Certificate Management Environment. Das Protokoll gibt detailliert vor, wie eine CA ohne den Einsatz teurer menschlicher Arbeitszeit Zertifikate signiert und verwaltet. Auch auf Nutzerseite ist wenig Handarbeit gefragt: Wer ein Gratiszertifikat möchte, holt es sich mit einem ACME-Client, der sich um alles kümmert – bis hin zur Konfiguration des Servers. Auch über die Erneuerung der Zertifikate kümmert sich der Client.

Vor dem Signieren von SSL-Zertifikaten stellt die CA dem Client eine Aufgabe, um zu Überprüfen, ob der Anfragende tatsächlich Kontrolle über die Domain hat, die im Zertfikat angegeben wurde. Um die Aufgabe zu lösen, muss der Client über die Domain etwa vorgegebene Daten über einen vorgegebenen Pfad erreichbar machen.

Die Wurzeln des Protokolls liegen zwar bei Let's Encrypt, es steht aber auch anderen Zertifizierungsstellen zur Verfügung. Dies gilt inbesondere für die neue Version: Die ursprüngliche Ausgabe war auf die Bedürfnisse von Let's Encrypt zugeschnitten, in die Entwicklung des IETF-Standards ist der Input anderer Zertifizierungsstellen eingeflossen. Der Umstieg auf ACME v2 wird auf Nutzerseite eine Aktualisierung des ACME-Clients notwendig machen. (rei)

57 Kommentare

Themen:

Anzeige
  1. HTTPS: Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Im kommenden Jahr will die Zertifizierungsstelle Wildcard-Zertifikate zur Verfügung stellen.

  2. 100 Millionen Zertifikate von Let's Encrypt im Umlauf

    100 Millionen Zertifikate von Let's Encrypt im Umlauf

    Let's Encrypt ist weiterhin auf Wachstumskurs und hat einen neuen Meilenstein erreicht.

  3. TLS-Zertifikate: CAAs sollen Zertifizierungsstellen an die Leine legen

    Zertifikate: CAAs sollen CAs an die Leine legen

    Admins können mit einer Certification Authority Authorization im DNS festlegen, wer Zertifikate für ihre Domain unterschreiben darf. Ab dem 8. September sind diese Vorgaben für Zertifizierungsstellen verbindlich.

  4. Google: Certificate Transparency wird Pflicht

    Google: Certificate Transparency wird Pflicht

    Google trommelt seit Jahren für mehr Transparenz bei den Certificate Authorities. Jetzt wollen die Macher des Chrome-Browsers CAs mit Gewalt auf die Praxis der Certificate Transparency verpflichten.

  1. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  2. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 2: Server-Programmierung

    Asynchroner Programmablauf im WOPR-Server (Abb. 2)

    Boost.Asio bietet plattformübergreifende Möglichkeiten zur Netzwerkprogrammierung in C++, inklusive der Implementierung von SSL/TLS. Beim Erstellen eines Servers gilt es einige Besonderheiten zu beachten.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. Firefox Quantum auf 170 Millionen Geräten installiert

    Firefox Quantum auf 170 Millionen Geräten installiert

    Mozilla feiert, denn Firefox Quantum kommt bei den Nutzern gut an. Inzwischen läuft das "größte Update aller Zeiten" auf 170 Millionen Endgeräten. Auch die Firefox-Apps profitieren von der Aufmerksamkeit.

  2. Abgas-Skandal: Unzulässige Abschalteinrichtung im VW Touareg – KBA verordnet Rückruf

    Abgas-Skandal: Unzulässige Abschalteinrichtung im VW Touareg – KBA verordnet Rückruf

    Die Halter von 25.800 VW Touareg erhalten demnächst Post von VW. Ihre Autos sollen eine neue Motorsoftware bekommen.

  3. Klartext: The Real GT

    Audi

    Schnelle Kombis sind die eigentlichen GT-Wagen, denn während die Maseratis dieser Welt in leeren Hallen am Batteriejogger vereinsamen, fressen Autos wie Audis RS 4 Avant Kilometer, als gäbe es morgen keine. Sie schaffen den GT-Spagat einfach besser

  4. Fallout 4 VR im Livestream: Mit der Vive im Wasteland unterwegs

    Fallout 4 VR im Livestream: Mit der Vive im Wasteland unterwegs

    c't-Redakteur Jan-Keno Janssen stellt sich heute nur mit einer Vive bewaffnet den Herausforderungen der Postapokalypse in Fallout 4 VR. Der Livestream startet um 16 Uhr. Übrigens: Das Spiel läuft auch mit Oculus Rift, allerdings nicht wirklich rund.

Anzeige