Door de kortere levensduur van SSL/TLS-certificaten en de verwachte bezuinigingen in de technologie- en cyberbeveiligingssector staan IT-teams onder steeds grotere druk om de veiligheid binnen bedrijven te waarborgen. IT-teams schakelen over op automatiseringsoplossingen om aan deze groeiende eisen op het gebied van cyberbeveiliging binnen ondernemingen te voldoen. Het ACME-protocol is een van die oplossingen.
Het Automatic Certificate Management Environment (ACME)-protocol is een tool voor de automatisering van certificaten, waarmee tijd en middelen van afdelingen worden bespaard, het risico op menselijke fouten wordt geëlimineerd en hiaten in de bedrijfsbeveiliging worden gedicht. Zonder dit protocol kunnen certificaten zoekraken of over het hoofd worden gezien, waardoor ze verlopen. ACME kan IT-teams helpen deze druk te verlichten.
Laten we wat dieper ingaan op het ACME-protocol, wat het is en hoe bedrijven het gebruiken om de beveiliging te beheren.
Wat is het Automatic Certificate Management Environment (ACME)-protocol?
ACME is een protocol dat de communicatie tussen certificeringsinstanties (CA's) en een ACME-client die op de server van een gebruiker draait, vergemakkelijkt om de uitgifte, intrekking en verlenging van certificaten te automatiseren.
Gebruikers implementeren een geautoriseerde agent, zoals Certbot, om te communiceren met de CA en hun Certificate Signing Requests (CSR's) te beheren, zodat de uitgifte en verlenging van certificaten op de achtergrond wordt afgehandeld, zonder menselijke tussenkomst, waardoor IT-teams zich kunnen concentreren op andere aspecten van de beveiliging.
ACME is ontwikkeld als een oplossing voor het beheer van de steeds korter wordende levensduur van SSL/TLS-certificaten en biedt gratis certificaten met een geldigheidsduur van 90 dagen. Sindsdien hebben certificeringsinstanties (CA's) het ACME-protocol ingevoerd om een meer uitgebreide inventaris van certificaten te beheren.
Hoe werkt ACME?
Gebruikers implementeren een agent voor certificaatbeheer, of client, om te communiceren met een CA-platform (server). Hiervoor genereert de agent een sleutelpaar dat door de CA wordt gevalideerd. Zodra het sleutelpaar is gevalideerd, heeft de agent de bevoegdheid om CSR's te beheren en deze naar platforms voor CA-certificaatbeheer, zoals Atlas, te verzenden. Het certificaat wordt vervolgens teruggestuurd naar de agent, die het installeert en de gebruiker hiervan op de hoogte stelt.
Belangrijkste kenmerken van ACME
Door ACME in te zetten als onderdeel van uw beveiligingsbeleid, kiest u voor een veel functionelere benadering van cyberbeveiliging dan traditionele methoden, zoals het organiseren van uw certificaatinventaris in een aantal spreadsheets en het handmatig aanmaken van CSR's.
- Schaalbaarheid: Met ACME kan de gebruiker certificaten in bulk verwerken, wat betekent dat grote aantallen certificaten van verschillende types tegelijkertijd kunnen worden uitgegeven, verlengd en ingetrokken.
- Service Level Agreements (SLA's): In tegenstelling tot gratis, crowdsourced ACME-services bieden providers zoals GlobalSign ondersteuning in elke fase van de implementatie en daarna, zodat u verzekerd bent van geautomatiseerde beveiliging op hoog niveau.
- Beheer van private keys: ACME stelt ondernemingen in staat om hun eigen sleutelbeveiliging te beheren in plaats van een derde partij in te schakelen om dit voor hen te doen.
Door uw certificaatinventaris eenvoudigweg in een spreadsheet bij te houden, worden servers en domeinen blootgesteld aan kwetsbaarheden die door kwaadwillenden kunnen worden misbruikt, doordat certificaten zoekraken of niet worden verlengd voordat ze verlopen, omdat ze in een omslachtig, handmatig systeem worden bewaard.
Het gebruik van ACME biedt tal van functies die de werkdruk en het gewicht van certificaatbeheer voor IT-teams in ondernemingen kunnen verminderen.
Wat zijn de voordelen van het implementeren van ACME?
- Betere beveiliging: Door ACME te implementeren, verdwijnt het risico op menselijke fouten. Met ACME worden uw certificaten opgeslagen in een gecentraliseerde inventaris en kunnen ze niet zoekraken of over het hoofd worden gezien, in tegenstelling tot wanneer ze in een spreadsheet worden opgeslagen. Dit vermindert het risico op gemiste verlopen certificaten aanzienlijk, evenals de mogelijke downtime en inbreuken die hieruit kunnen voortvloeien.
- Snelheid en automatisering: De implementatie van ACME neemt niet veel tijd in beslag. Zodra het systeem is geconfigureerd, verloopt de uitgifte, verlenging en intrekking van certificaten automatisch en binnen enkele seconden, zonder dat er op enig moment handmatig hoeft te worden ingegrepen. IT-teams kunnen zich zo volledig richten op andere beveiligingstaken.
- Vereenvoudigde aanpak van certificaatbeheer: ACME vereenvoudigt wat normaal gesproken een complex geheel van handmatige processen is voor IT-teams aanzienlijk, zodat ze nauwelijks nog CSR's hoeven af te handelen. Bovendien is het implementatieproces vrij eenvoudig.
- Flexibiliteit van CA: ACME biedt flexibiliteit tussen certificeringsinstanties (CA's), wat betekent dat als u voor uw certificeringsbehoeften meer dan één CA nodig hebt, u tussen deze instanties kunt schakelen zonder aan één CA gebonden te zijn en zonder beperkingen op het gebied van certificaatuitgifte. Dit biedt u een bredere beveiligingspositie. In dit geval kunt u het beste één CA als primaire, vertrouwde service toevoegen, zoals GlobalSign, om indien nodig met andere CA's te communiceren.
Toepassingen voor ACME
- Domain Validation (DV)-certificaten: Op basisniveau kan ACME CSR's voor DV-certificaten maken. Dit is de minimale verificatie die vereist is om het eigendom van een domein of server aan te tonen en vereist geen grondige validatie.
- Organization Validation (OV)-certificaten: Organization Validated-certificaten worden op een grondiger niveau gecontroleerd dan een standaard DV-certificaat en bieden een uitgebreidere authenticatie voor bedrijven en organisaties. GlobalSign biedt ondersteuning voor ACME OV-certificaten.
- DevSecOps: Intensieve beveiligingsprocessen zijn essentieel in elke fase van de DevOps-pijplijn. Daarom moeten engineers al hun certificaten up-to-date houden en kunnen ze zich geen fouten veroorloven. Dankzij de snelheid waarmee ACME certificaten kan beheren, hoeven technici zich geen zorgen te maken over beveiligingsrisico's en kunnen ze zich concentreren op andere taken.
Hoe het ACME-protocol implementeren
1. Selecteer en installeer een agent
Eerst moet de gebruiker een agent selecteren. U kunt kiezen uit een groot aantal agents die verschillende omgevingen en besturingssystemen ondersteunen. Het is ook belangrijk om na te denken over de soorten certificaten die u wilt beheren. Veel ACME-agents ondersteunen de uitgifte en verlenging van Domain Validated (DV)- en Organization Validated (OV)-certificaten zonder handmatige tussenkomst.
De gebruiker moet een account voor certificaatbeheer instellen, zoals Atlas, zodat de agent kan communiceren met de CA. Het is daarom belangrijk om een agent te kiezen die dit ondersteunt.
Het is essentieel om te weten welke soorten certificaten u wilt beheren en hoe waardevol deze zijn, zodat u aan al uw beveiligingsbehoeften kunt voldoen. Zodra de ACME-agent is geselecteerd, kan deze worden geïnstalleerd op de server waarop certificaten worden geïmplementeerd.
2. Selecteer een certificaatautoriteit (CA)
Tijdens de installatie maakt de agent een lijst met ondersteunde CA's waaruit de client kan kiezen. Bij het selecteren van de CA is het belangrijk om ervoor te zorgen dat de CA de soorten certificaten ondersteunt die vereist zijn voor de server of het domein. Dit moet dezelfde CA zijn die de gebruiker al heeft ingesteld voor zijn of haar account voor certificaatbeheer.
Wanneer een agent is geselecteerd, genereert deze een sleutelpaar dat bestaat uit een public en een private key en neemt deze contact op met de CA. De private key wordt later door de agent gebruikt om zijn bevoegdheid voor het beheren van Certificate Signing Requests (CSR's) te verifiëren.
3. Verificatie
De geselecteerde CA verifieert vervolgens de bevoegdheid van de agent over het domein of de domeinen van de client door middel van uitdagingen. De laatste van deze uitdagingen is een door de CA gegenereerde nonce. Een nonce is een willekeurig gegenereerd nummer dat de CA naar de agent stuurt, die het vervolgens met zijn private key ondertekent, waarmee het verificatieproces wordt voltooid.
Daarnaast zijn External Account Bindings (EAB) vereist om uw ACME-account te koppelen aan een externe account, in dit geval de server van een CA. EAB's voegen een extra beveiligingslaag toe bij het automatiseren van certificaatbeheerprocessen voor machines en services, omdat ze voorkomen dat niet-gekoppelde ACME-clients certificaten kunnen verkrijgen van uw geselecteerde CA. Wanneer u uw ACME-server zo configureert dat EAB vereist is, kunnen alleen de door u geselecteerde ACME-clients met geldige EAB-inloggegevens worden gekoppeld aan de ACME-server (in dit geval Atlas) en certificaten verkrijgen.
4. Beheer uw Certificate Signing Requests
De ACME-agent kan nu binnen enkele seconden CSR's verzenden voor de uitgifte, verlenging en intrekking van certificaten, zonder menselijke tussenkomst. De server genereert de CSR samen met de agent, hetzij voor de uitgifte of verlenging van een certificaat namens het gevalideerde domein met behulp van het sleutelpaar.
De CSR wordt vervolgens naar de CA gestuurd, die de sleutelhandtekeningen verifieert en het certificaat uitgeeft en terugstuurt naar de agent.
In geval van intrekking wordt het verzoek opnieuw ondertekend met het sleutelpaar, net als bij uitgifte of verlenging, en verzonden naar de CA, die het vervolgens valideert. De CA publiceert de intrekkingsinformatie via een Certificate Revocation List (CRL), zodat het ingetrokken certificaat niet langer door de browser kan worden geaccepteerd.
Waarom IT-teams en ondernemingen ACME moeten implementeren
Automatisering wordt steeds meer een noodzaak voor bedrijven die te maken hebben met de hedendaagse problemen waarmee cybersecurityprofessionals worden geconfronteerd, zoals een kortere levensduur van certificaten en krappere budgetten voor IT-teams. Er zijn verschillende automatiseringsoplossingen beschikbaar, met verschillende functies op het gebied van cyberbeveiliging en het levenscyclusbeheer van certificaten (CLM).
ACME is een protocol dat is ontwikkeld om veel van deze druk op cybersecurityprofessionals te verlichten door processen voor certificaatbeheer te automatiseren en organiseren. Door een agent te implementeren die via een certificaatbeheerplatform met een CA communiceert, wordt veel druk weggenomen bij IT-teams die anders voortdurend de honderden certificaten moeten controleren die voor de beveiliging van de organisatie worden gebruikt.
ACME neemt niet alleen deze druk weg, maar is ook heel goedkoop en zorgt voor flinke besparingen op middelen en verliezen door beveiligingslekken. ACME is snel, schaalbaar, vereist minder tijd en middelen en versterkt tegelijkertijd de bedrijfsbeveiliging.
