Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 57

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Let's Encrypt: ACME auf dem Weg zum IETF-Standard

Das ACME-Protokoll hat den Umgang mit SSL-Zertifikaten für Zertifizierungsstellen und Admins enorm erleichtert. In Kürze geht Version 2 an den Start; erstmals als IETF-Standard.

Aus dem durch die Gratis-CA Let's Encrypt bekannten ACME-Protokoll wird ein IETF-Standard. Eine Arbeitsgruppe entwickelt derzeit eine erweiterte Version des ursprünglichen Protokolls, die besser auf die Bedürfnisse anderer SSL-Zertifizierungsstellen (Certificate Authorities, CAs) eingehen soll. Die Umsetzung ist offenbar weit vorangeschritten: Let's-Encrypt-Chef Josh Aas erklärte, dass seine CA schon im Januar kommenden Jahres das überarbeitete ACME-Protokoll unterstützen soll. Die alte Version möchte er langfristig ausmustern, derzeit lägen aber noch nicht ausreichend Daten vor, um einschätzen zu können, wann der geeignete Zeitpunkt ist.

Zertifikats-Automat

Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat.
Ein Teil von ACME ist die Überprüfung, ob der Anfragende tatsächlich Kontrolle über die im Zertifikat angegebene Domain hat. Vergrößern
ACME steht in diesem Fall nicht für die fiktive Firma, bei der Wile E. Coyote seine knallroten Raketen kauft, sondern für Automated Certificate Management Environment. Das Protokoll gibt detailliert vor, wie eine CA ohne den Einsatz teurer menschlicher Arbeitszeit Zertifikate signiert und verwaltet. Auch auf Nutzerseite ist wenig Handarbeit gefragt: Wer ein Gratiszertifikat möchte, holt es sich mit einem ACME-Client, der sich um alles kümmert – bis hin zur Konfiguration des Servers. Auch über die Erneuerung der Zertifikate kümmert sich der Client.

Vor dem Signieren von SSL-Zertifikaten stellt die CA dem Client eine Aufgabe, um zu Überprüfen, ob der Anfragende tatsächlich Kontrolle über die Domain hat, die im Zertfikat angegeben wurde. Um die Aufgabe zu lösen, muss der Client über die Domain etwa vorgegebene Daten über einen vorgegebenen Pfad erreichbar machen.

ACME für Alle

Die Wurzeln des Protokolls liegen zwar bei Let's Encrypt, es steht aber auch anderen Zertifizierungsstellen zur Verfügung. Dies gilt inbesondere für die neue Version: Die ursprüngliche Ausgabe war auf die Bedürfnisse von Let's Encrypt zugeschnitten, in die Entwicklung des IETF-Standards ist der Input anderer Zertifizierungsstellen eingeflossen. Der Umstieg auf ACME v2 wird auf Nutzerseite eine Aktualisierung des ACME-Clients notwendig machen. (rei)

57 Kommentare

Themen:

Anzeige
  1. HTTPS: Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Let's Encrypt stellt Wildcard-Zertifikate in Aussicht

    Im kommenden Jahr will die Zertifizierungsstelle Wildcard-Zertifikate zur Verfügung stellen.

  2. 100 Millionen Zertifikate von Let's Encrypt im Umlauf

    100 Millionen Zertifikate von Let's Encrypt im Umlauf

    Let's Encrypt ist weiterhin auf Wachstumskurs und hat einen neuen Meilenstein erreicht.

  3. TLS-Zertifikate: CAAs sollen Zertifizierungsstellen an die Leine legen

    Zertifikate: CAAs sollen CAs an die Leine legen

    Admins können mit einer Certification Authority Authorization im DNS festlegen, wer Zertifikate für ihre Domain unterschreiben darf. Ab dem 8. September sind diese Vorgaben für Zertifizierungsstellen verbindlich.

  4. Google: Certificate Transparency wird Pflicht

    Google: Certificate Transparency wird Pflicht

    Google trommelt seit Jahren für mehr Transparenz bei den Certificate Authorities. Jetzt wollen die Macher des Chrome-Browsers CAs mit Gewalt auf die Praxis der Certificate Transparency verpflichten.

  1. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  2. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 2: Server-Programmierung

    Asynchroner Programmablauf im WOPR-Server (Abb. 2)

    Boost.Asio bietet plattformübergreifende Möglichkeiten zur Netzwerkprogrammierung in C++, inklusive der Implementierung von SSL/TLS. Beim Erstellen eines Servers gilt es einige Besonderheiten zu beachten.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. Die KRACK-Attacke: Gefahr und Schutz, eine Einschätzung

    Gefahren aus dem Netz

    Die am Montag präsentierte KRACK-Attacke auf die WLAN-Verschlüsselung WPA2 ist eine ernste Sicherheitslücke, die man schnellst möglich beheben sollte. Sie ist jedoch kein Grund zur Panik und auch kein Grund alle Internet-Aktivitäten einzustellen.

  2. KRACK: Hersteller-Updates und Stellungnahmen

    Vorsicht im öffentlichen WLAN

    Mittlerweile haben einige von der WPA2-Lücke KRACK betroffene Hersteller Patches veröffentlicht, die die Gefahr abwehren. Andere meldeten sich in Stellungnahmen zu Wort.

Anzeige