Automatic Certificate Management Environment

Емблема ACME

Automatic Certificate Management Environment (ACME) — протокол інтернету, що застосовується для організації взаємодії засвідчувального центру і вебсервера, наприклад, для автоматизації отримання та обслуговування сертифікатів. Запити передаються в форматі JSON поверх HTTPS.

Проект розроблений некомерційним засвідчувальним центром Let's Encrypt, котрий контролюється співтовариством і надає сертифікати безоплатно всім бажаючим. Доступні реалізації ACME на різних мовах програмування, а також спеціалізований модуль для http-сервера Apache (входить в основний склад починаючи з випуску 2.4.33).

У березні 2019 комітет IETF (Internet Engineering Task Force), що займається розвитком протоколів і архітектури Інтернету, завершив формування^[1] RFC для протоколу ACME і опублікував пов'язану з ним специфікацію під ідентифікатором RFC 8555. RFC отримав статус «пропозиції стандарту», після чого почнеться робота по наданню RFC статусу чорнового стандарту (Draft Standard), що фактично означає повну стабілізацію протоколу і врахування всіх висловлених зауважень. Стандартизована друга версія протоколу ACMEv2, що забезпечує підтримку масок в сертифікатах, що надає вдосконалений механізм авторизації, яка підтримує операції перейменування ресурсів і пропонує новий метод перевірки володіння доменом TLS-SNI-02.

Примітки

↑ The ACME Protocol is an IETF Standard [Архівовано 12 березня 2019 у Wayback Machine.] — Mar 11, 2019 • Josh Aas, ISRG Executive Director

Посилання

Automatic Certificate Management Environment [Архівовано 30 березня 2019 у Wayback Machine.] — GitHub Pages
Barnes, Richard; Hoffman-Andrews, Jacob; Kasten, James. Automatic Certificate Management Environment (ACME). IETF.
List of ACME clients [Архівовано 16 березня 2019 у Wayback Machine.] at Let's Encrypt

TLS та SSL

Протоколи та технології

Transport Layer Security / Secure Sockets Layer (TLS/SSL)
Datagram Transport Layer Security^[en] (DTLS)
Server Name Indication (SNI)
Application-Layer Protocol Negotiation (ALPN)
DANE^[en] (DANE)
CAA^[en] (CAA)
HTTPS
HTTP Strict Transport Security (HSTS)
HTTP Public Key Pinning^[en] (HPKP)
OCSP stapling
Perfect forward secrecy
StartTLS

Інфраструктура
публічних ключів

Automated Certificate Management Environment (ACME)
Certificate authority (CA)
CA/Browser Forum^[en]
Політика сертифікації^[en]
Список відкликаних сертифікатів (CRL)
Domain-validated certificate^[en] (DV)
Extended Validation Certificate^[en] (EV)
Online Certificate Status Protocol (OCSP)
Цифровий сертифікат
Криптографія з відкритим ключем
Інфраструктура відкритих ключів (PKI)
Кореневий сертифікат
Самопідписаний сертифікат^[en]

Див. також

Domain Name System Security Extensions (DNSSEC)
Internet Protocol Security (IPsec)
Secure Shell (SSH)

Історія

Експорт криптографії зі Сполучених Штатів Америки^[en]
Server-Gated Cryptography^[en]

Імплементації

Bouncy Castle
BoringSSL
Botan
cryptlib^[en]
GnuTLS
JSSE
LibreSSL
MatrixSSL
mbed TLS^[en]
NSS
OpenSSL
RSA BSAFE
S2n^[en]
SChannel
SSLeay^[en]
stunnel
wolfSSL

Notaries

Прозорість сертифікації^[en]
Convergence^[en]
HTTPS Everywhere
Perspectives Project

Уразливості

Теорія	Атака посередника (Man-in-the-middle attack, MITM) Атака оракула доповнення^[en]

Шифр	Атака Bar mitzvah^[en]

Протокол	BEAST BREACH^[en] CRIME DROWN^[en] Logjam POODLE^[en] (щодо SSL 3.0)

Імплементація	Certificate authority compromise Атака на ГПВЧ FREAK goto fail Heartbleed Атака Lucky Thirteen^[en] POODLE^[en] (щодо TLS 1.0) Атака "Людина по середині" в Казахстані^[en]