Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.701.081 Produkten

Ronald Eikenberg 57

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Das ACME-Protokoll hat den Umgang mit SSL-Zertifikaten für Zertifizierungsstellen und Admins enorm erleichtert. In Kürze geht Version 2 an den Start; erstmals als IETF-Standard.

Aus dem durch die Gratis-CA Let's Encrypt bekannten ACME-Protokoll wird ein IETF-Standard. Eine Arbeitsgruppe entwickelt derzeit eine erweiterte Version des ursprünglichen Protokolls, die besser auf die Bedürfnisse anderer SSL-Zertifizierungsstellen (Certificate Authorities, CAs) eingehen soll. Die Umsetzung ist offenbar weit vorangeschritten: Let's-Encrypt-Chef Josh Aas erklärte, dass seine CA schon im Januar kommenden Jahres das überarbeitete ACME-Protokoll unterstützen soll. Die alte Version möchte er langfristig ausmustern, derzeit lägen aber noch nicht ausreichend Daten vor, um einschätzen zu können, wann der geeignete Zeitpunkt ist.

Anzeige
Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat.
Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat.

ACME steht in diesem Fall nicht für die fiktive Firma, bei der Wile E. Coyote seine knallroten Raketen kauft, sondern für Automated Certificate Management Environment. Das Protokoll gibt detailliert vor, wie eine CA ohne den Einsatz teurer menschlicher Arbeitszeit Zertifikate signiert und verwaltet. Auch auf Nutzerseite ist wenig Handarbeit gefragt: Wer ein Gratiszertifikat möchte, holt es sich mit einem ACME-Client, der sich um alles kümmert – bis hin zur Konfiguration des Servers. Auch über die Erneuerung der Zertifikate kümmert sich der Client.

Vor dem Signieren von SSL-Zertifikaten stellt die CA dem Client eine Aufgabe, um zu Überprüfen, ob der Anfragende tatsächlich Kontrolle über die Domain hat, die im Zertfikat angegeben wurde. Um die Aufgabe zu lösen, muss der Client über die Domain etwa vorgegebene Daten über einen vorgegebenen Pfad erreichbar machen.

Die Wurzeln des Protokolls liegen zwar bei Let's Encrypt, es steht aber auch anderen Zertifizierungsstellen zur Verfügung. Dies gilt inbesondere für die neue Version: Die ursprüngliche Ausgabe war auf die Bedürfnisse von Let's Encrypt zugeschnitten, in die Entwicklung des IETF-Standards ist der Input anderer Zertifizierungsstellen eingeflossen. Der Umstieg auf ACME v2 wird auf Nutzerseite eine Aktualisierung des ACME-Clients notwendig machen. (rei)

57 Kommentare

Themen:

Anzeige
  1. HTTPS: Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Im kommenden Jahr will die Zertifizierungsstelle Wildcard-Zertifikate zur Verfügung stellen.

  2. 100 Millionen Zertifikate von Let's Encrypt im Umlauf

    100 Millionen Zertifikate von Let's Encrypt im Umlauf

    Let's Encrypt ist weiterhin auf Wachstumskurs und hat einen neuen Meilenstein erreicht.

  3. TLS-Zertifikate: CAAs sollen Zertifizierungsstellen an die Leine legen

    Zertifikate: CAAs sollen CAs an die Leine legen

    Admins können mit einer Certification Authority Authorization im DNS festlegen, wer Zertifikate für ihre Domain unterschreiben darf. Ab dem 8. September sind diese Vorgaben für Zertifizierungsstellen verbindlich.

  4. Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Google tadelt abermals Symantec als Zertifizierungsstelle. Als erstes soll Chrome nun Zertifikate herabstufen. Als längerfristiges Ziel ist sogar eine Annullierung vorgesehen. Symantec findet das verantwortungslos.

  1. nachgehakt: Let's Encrypt

    Kostenlose Let's-Encrypt-Zertifikate

    Vollautomatische und kostenfreie Let's-Encrypt-Zertifikate für jedes Gerät: Ein Start-up überrollt die kostenpflichtige Konkurrenz der SSL/TLS-Zertifikat-Anbieter.

  2. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  3. Mit Java auf dem HTTP/2-Zug

    Mit Java auf dem HTTP/2-Zug

    HTTP/2 löst nun auch in Java den veralteten Vorgänger ab, der aktuellen Anwendungen nicht mehr gerecht wird.

  1. Welt-Pressefoto des Jahres 2017: Die Nominierungen stehen fest

    Zivilisten während der Kämpfe um die irakische Stadt Mossul

    Bilder von Krieg und Frieden, Liebe und Hass, Natur und Naturzerstörung – mehr als 4500 Fotografen haben sich am World Press Photo Contest für das beste Pressefoto des Jahres 2017 beteiligt, nun steht die Vorauswahl für die besten Aufnahmen fest.

  2. Erpressung von HBO: Hacker veröffentlichen mehr Material

    HBO, Hacker

    Seit einigen Wochen muss sich der US-Bezahlsender HBO mit Lösegeldforderungen einer Hackergruppe herumschlagen. Diese soll 1,5 Terabyte an Daten kopiert haben und droht mit der stückweisen Veröffentlichung.

  3. Polizei, Feuerwehr und Facebook – viele Fälle für Hamburgs Datenschutzbeauftragten

    Polizei, Feuerwehr und Facebook – viele Fälle für Hamburgs Datenschutzbeauftragten

    Die Datenschutzgrundverordnung steht vor der Tür. Die Hamburger Datenschützer haben vor ihrem Inkrafttreten nach eigenen Angaben so viel zu tun, dass sie Alarm schlagen.

  4. HTTP-Status 418 "Ich bin eine Teekanne" darf bleiben

    Fehlercode 418

    Der HTTP-Statuscode 418 "I'm a tea pot" war eigentlich als Aprilscherz gedacht und drohte, aus dem Netz zu verschwinden. Doch nun könnte der sinnlose Fehlercode sogar zum offiziellen IETF-Standard werden.

Anzeige