ACME é um protocolo de internet projetado para permitir que as empresas se comuniquem com uma Autoridade Certificadora (AC) e automatizem o ciclo de vida dos certificados TLS. Esse ambiente sem toque permite a emissão de certificados a baixo custo e alta velocidade. O poder do ACME está na comunicação entre um cliente ACME solicitando um certificado de um servidor ACME operado por uma AC, como a GlobalSign, para automatizar de forma colaborativa as principais funções de gerenciamento do ciclo de vida do certificado (CLM).
Neste post, exploraremos a atualização mais recente do serviço ACME da GlobalSign; emissão de certificados IntranetSSL para domínios internos.
Evolução do Protocolo ACME
O protocolo ACME evoluiu significativamente desde a sua criação. Originalmente desenvolvido para simplificar a emissão e o gerenciamento de certificados TLS, o ACME evoluiu para enfrentar os crescentes desafios que as empresas enfrentam em relação à escalabilidade, segurança e agilidade. O suporte para vida útil mais curta do certificado, recursos de automação aprimorados e integração com tecnologias emergentes, como conteinerização e computação em nuvem, permite que as organizações fiquem à frente das ameaças de segurança e requisitos de conformidade em evolução.
Solução ACME da GlobalSign – Atualizações e aprimoramentos recentes
Adaptar-se às mudanças nos requisitos de segurança é essencial para que as organizações permaneçam em conformidade e segurança. As atualizações recentes da GlobalSign em seu serviço ACME incluem reutilização de validação de subdomínio, suporte ao endpoint ACME KeyChange e atualizações internas do ACME Nonce. Desde então, continuamos trabalhando para aprimorar nosso serviço ACME e temos o prazer de apresentar suporte para certificados de domínio interno via ACME em nossa linha de produtos IntranetSSL.
O que isto significa?
Com a introdução desse recurso, a GlobalSign está desbloqueando um recurso que não estava facilmente disponível para as organizações antes: a capacidade de emitir certificados via ACME para domínios internos e privados usando sufixos de domínio não oficiais, como .internal ou .lan. As organizações podem usar esses domínios internos para redes de desenvolvimento ou outros ambientes que não sejam de produção; eles também são aproveitados para redes de dispositivos privados e domínios do Active Directory (embora a prática recomendada para domínios do AD seja usar um subdomínio de um domínio registrado publicamente controlado por sua organização).
Os desafios do ACME normalmente dependem do DNS público para pesquisar um registro TXT ou resolver o endereço de um servidor. No entanto, não existe DNS público para sufixos de domínio não oficiais. Até agora, isso representava uma barreira à emissão. Isso é um divisor de águas para organizações que buscam automatizar o gerenciamento de certificados e adotar melhor agilidade de PKI em áreas críticas para os negócios.
Por que isso é importante?
Proteger endpoints em domínios internos é essencial para lidar com informações confidenciais e comunicações internas, protegendo esses endpoints de possíveis ataques à cadeia de suprimentos, entre outras ameaças e vulnerabilidades. A GlobalSign permitiu que seu robusto produto IntranetSSL fosse provisionado automaticamente por meio do protocolo ACME para proteger domínios de intranet/não públicos.
Ao automatizar a implantação e a renovação de TLS/certificados não públicos, as organizações podem garantir que os endpoints privados mantenham os padrões de criptografia e atendam aos mandatos de conformidade interna, evitando acesso não autorizado, violações de dados e possíveis interrupções nas operações internas.
Reconhecemos a importância da privacidade e segurança das redes internas. Hierarquias privadas como IntranetSSL não estão sujeitas aos mandatos de conformidade de certificados publicamente confiáveis; dessa forma, os certificados emitidos por meio dessa hierarquia não são publicados nos logs de CT, mantendo seus domínios internos privados. Além disso, como podemos pular o desafio de domínio para domínios internos, as solicitações de certificado do cliente ACME são todas de saída da sua rede, não há necessidade de abrir o firewall de entrada para desafios de domínio; quando o certificado for emitido, o cliente ACME fará o download!
Benefícios do provisionamento de IntranetSSL por meio do ACME
Gerenciamento centralizado: Aproveitar os recursos integrados do protocolo ACME e as atualizações recentes da GlobalSign permite o gerenciamento centralizado de certificados públicos e privados. Usar os mesmos processos para gerenciar certificados em todos os endpoints simplifica a administração e reduz o risco de violações.
Conformidade: as organizações podem impor políticas de segurança e padrões de conformidade consistentes. As organizações não precisam mais depender do pessoal interno criando cadeias de confiança autoassinadas para proteger endpoints internos vitais. As organizações agora podem compartilhar a carga com uma AC confiável que tenha o conhecimento e a experiência do setor para emitir certificados não públicos para atender a casos de uso não públicos.
Escalabilidade: O serviço ACME da GlobalSign fornece recursos escaláveis de gerenciamento de certificados, permitindo que as organizações gerenciem com eficiência certificados para qualquer número de endpoints privados e cresçam e personalizem sua solução à medida que sua infraestrutura cresce e amadurece.
Ao provisionar certificados IntranetSSL automaticamente por meio do ACME, ele aumenta a eficiência operacional e melhora a postura de segurança, aliviando a carga das equipes de segurança.