Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 57

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Das ACME-Protokoll hat den Umgang mit SSL-Zertifikaten für Zertifizierungsstellen und Admins enorm erleichtert. In Kürze geht Version 2 an den Start; erstmals als IETF-Standard.

Aus dem durch die Gratis-CA Let's Encrypt bekannten ACME-Protokoll wird ein IETF-Standard. Eine Arbeitsgruppe entwickelt derzeit eine erweiterte Version des ursprünglichen Protokolls, die besser auf die Bedürfnisse anderer SSL-Zertifizierungsstellen (Certificate Authorities, CAs) eingehen soll. Die Umsetzung ist offenbar weit vorangeschritten: Let's-Encrypt-Chef Josh Aas erklärte, dass seine CA schon im Januar kommenden Jahres das überarbeitete ACME-Protokoll unterstützen soll. Die alte Version möchte er langfristig ausmustern, derzeit lägen aber noch nicht ausreichend Daten vor, um einschätzen zu können, wann der geeignete Zeitpunkt ist.

Zertifikats-Automat

Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat.
Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat. Vergrößern
ACME steht in diesem Fall nicht für die fiktive Firma, bei der Wile E. Coyote seine knallroten Raketen kauft, sondern für Automated Certificate Management Environment. Das Protokoll gibt detailliert vor, wie eine CA ohne den Einsatz teurer menschlicher Arbeitszeit Zertifikate signiert und verwaltet. Auch auf Nutzerseite ist wenig Handarbeit gefragt: Wer ein Gratiszertifikat möchte, holt es sich mit einem ACME-Client, der sich um alles kümmert – bis hin zur Konfiguration des Servers. Auch über die Erneuerung der Zertifikate kümmert sich der Client.

Vor dem Signieren von SSL-Zertifikaten stellt die CA dem Client eine Aufgabe, um zu Überprüfen, ob der Anfragende tatsächlich Kontrolle über die Domain hat, die im Zertfikat angegeben wurde. Um die Aufgabe zu lösen, muss der Client über die Domain etwa vorgegebene Daten über einen vorgegebenen Pfad erreichbar machen.

ACME für Alle

Die Wurzeln des Protokolls liegen zwar bei Let's Encrypt, es steht aber auch anderen Zertifizierungsstellen zur Verfügung. Dies gilt inbesondere für die neue Version: Die ursprüngliche Ausgabe war auf die Bedürfnisse von Let's Encrypt zugeschnitten, in die Entwicklung des IETF-Standards ist der Input anderer Zertifizierungsstellen eingeflossen. Der Umstieg auf ACME v2 wird auf Nutzerseite eine Aktualisierung des ACME-Clients notwendig machen. (rei)

57 Kommentare

Themen:

Anzeige
  1. HTTPS: Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Im kommenden Jahr will die Zertifizierungsstelle Wildcard-Zertifikate zur Verfügung stellen.

  2. 100 Millionen Zertifikate von Let's Encrypt im Umlauf

    100 Millionen Zertifikate von Let's Encrypt im Umlauf

    Let's Encrypt ist weiterhin auf Wachstumskurs und hat einen neuen Meilenstein erreicht.

  3. Comodo will offensichtlich Let's Encrypt den Namen streitig machen

    Comodo will offensichtlich Let's Encrypt den Namen streitig machen

    Die Zertifizierungsstelle Comodo hat bereits Ende vergangenen Jahres Anträge eingereicht, um die Bezeichnung Let's Encrypt in verschiedenen Kombinationen als Markennamen eintragen zu lassen.

  4. Gratis-CA StartEncrypt beginnt mit Sicherheitsproblemen

    StartCom SSLFail

    In der kürzlich gestarteten Gratis-CA StartEncrypt sollen zahlreiche Sicherheitslücken geklafft haben, durch die man unter anderem an valide Zertifikate für Google, Facebook und Dropbox kam.

  1. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  2. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 2: Server-Programmierung

    Asynchroner Programmablauf im WOPR-Server (Abb. 2)

    Boost.Asio bietet plattformübergreifende Möglichkeiten zur Netzwerkprogrammierung in C++, inklusive der Implementierung von SSL/TLS. Beim Erstellen eines Servers gilt es einige Besonderheiten zu beachten.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite – die geht offline

    "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite

    Obwohl sein Unternehmen entschieden hatte, eine Neonazi-Seite weiter vor DDoS-Attacken zu schützen, ließ Cloudflare-CEO Matthew Prince doch den Vertrag kündigen, nun ist die Seite offline. Dass er über so viel Macht verfügt, hält er selbst für falsch.

  2. Atommülllager: Bohrung in der Asse wegen erhöhter Radioaktivität gestoppt

    Atommüllager: Bohrung in der Asse wegen erhöhter Radioaktivität gestoppt

    Im Atommülllager Asse bei Wolfenbüttel wurde eine Bohrung zur Erkundung einer Kammer abgebrochen, in der Fässer mit schwach- und mittelradioaktiven Abfällen lagern.

  3. Gefälschte Mahnungen verlangen Geld für Nutzung von youporn.com

    Gefälschte Mahnungen verlangen Geld für Nutzung von youporn.com

    Zurzeit kursiert eine E-Mail, in der eine Rechtsanwaltskanzlei Geld dafür einfordert, die Website youporn.com besucht zu haben. Dabei handelt es sich um eine Fälschung.

  4. Klartext: Elektroautos sind ein bisschen besser

    Klartext

    Wenn wir den von der aktuellen Diesel-Diskussion verunsicherten Autokunden ansehen, finden wir unter vielen anderen Wünschen auch den nach Absolution, den er sich vom Elektroauto erhofft. Ein paar Zeilen lesen kann billiger helfen

Anzeige