Características y limitaciones de los certificados públicos de AWS Certificate Manager

Los certificados de ACM son de confianza para la mayoría de los principales navegadores, como Google Chrome, Microsoft Edge, Mozilla Firefox y Apple Safari. Los navegadores muestran un icono de candado cuando se conectan mediante TLS a sitios que utilizan certificados de ACM. Java también confía en los certificados de ACM.

Los certificados públicos que se solicitan a través de ACM se obtienen de Amazon Trust Services, una autoridad de certificación (CA) pública administrada por Amazon. Las CA raíz de Amazon de la 1 a la 4 están firmadas de forma cruzada por Starfield G2 Root Certificate Authority - G2. La raíz Starfield es de confianza en Android (versiones posteriores a Gingerbread) e iOS (versión 4.1+). Las raíces de Amazon son de confianza en iOS 11+. Los navegadores, las aplicaciones o los sistemas operativos, como Amazon o raíces Starfield, confiarán en los certificados públicos de ACM.

ACM emite certificados de entidad final a los clientes a través de CA intermedias, que se asignan aleatoriamente según el tipo de certificado (RSA o ECDSA). ACM no proporciona información de CA intermedia debido a esta selección aleatoria.

Los certificados de ACM son validados por dominio e identifican solo un nombre de dominio. Al solicitar un certificado ACM, debe demostrar la propiedad o el control de todos los dominios especificados. Puede validar la titularidad a través del correo electrónico o DNS. Para obtener más información, consulte Validación por correo electrónico de AWS Certificate Manager y Validación por DNS de AWS Certificate Manager.

ACM es compatible con la validación por HTTP para verificar la propiedad del dominio al emitir certificados TLS públicos para usarlos con CloudFront. Este método utiliza redirecciones HTTP para demostrar la propiedad del dominio y ofrece una renovación automática similar a la validación por DNS. La validación por HTTP solo está disponible, por ahora, a través de la característica CloudFront Distribution Tenants.

Para la validación de HTTP, ACM proporciona una URL RedirectFrom y una URL RedirectTo. Debe configurar una redirección desde RedirectFrom a RedirectTo para demostrar el control del dominio. La URL RedirectFrom incluye el dominio validado y RedirectTo apunta a una ubicación controlada por ACM en la infraestructura de CloudFront que contiene un token de validación único.

Certificados de ACM administrados por otro servicio que muestran la identidad de ese servicio en el campo ManagedBy. En el caso de los certificados que utilizan la validación por HTTP con CloudFront, este campo mostrará “CLOUDFRONT”. Estos certificados solo se pueden usar a través de CloudFront. El campo ManagedBy aparece en las API DescribeCertificate y ListCertificates, y en las páginas de inventario y detalles de los certificados de la consola de ACM.

El campo ManagedBy se excluye mutuamente con el atributo “Se puede usar con”. En el caso de los certificados administrados por CloudFront, no se pueden agregar nuevos usos mediante otros servicios de AWS. Solo se pueden usar estos certificados con más recursos a través de la API de CloudFront.

A fin de mantener una infraestructura de certificados resiliente, Amazon puede suspender una CA intermedia sin previo aviso. Estos cambios no afectarán a los clientes. Para obtener más información, consulte “Amazon presenta las entidades de certificación intermedias dinámicas”.

Si Amazon suspende una CA raíz, el cambio se producirá tan pronto como sea necesario. Amazon utilizará todos los métodos disponibles para notificar a los clientes de AWS, como por AWS Health Dashboard, por correo electrónico y por comunicación con los administradores técnicos de cuentas.

Los certificados de entidad final suspendidos utilizan el OCSP y las CRL para verificar y publicar la información de revocación. Es posible que los firewalls de algunos clientes necesiten reglas adicionales para permitir el funcionamiento de estos mecanismos.

Utilice estos patrones de URL con caracteres comodín para identificar el tráfico de revocación:

Un asterisco (*) representa uno o varios caracteres alfanuméricos, un signo de interrogación de cierre (?) representa un único carácter alfanumérico, y una almohadilla (#) representa un número.

Los certificados deben especificar un algoritmo y un tamaño de clave. ACM es compatible con los siguientes algoritmos de clave pública de RSA y ECDSA:

ACM puede solicitar nuevos certificados a través de algoritmos marcados con un asterisco (*). Los algoritmos solo son compatibles con los certificados importados.

Las claves ECDSA son más pequeñas y eficientes desde el punto de vista computacional que las claves RSA de seguridad comparable, pero no todos los clientes de red admiten ECDSA. En esta tabla, adaptada del NIST, se comparan los tamaños de las claves RSA y ECDSA (en bits) para determinar los niveles de seguridad equivalentes:

El nivel de seguridad, como una potencia de 2, está relacionado con la cantidad de intentos necesarios para romper el cifrado. Por ejemplo, se pueden recuperar tanto una clave RSA de 3072 bits como una clave ECDSA de 256 bits sin más de 2¹²⁸ intentos.

Para obtener información que le ayude a elegir un algoritmo, consulte la entrada del blog de AWS Cómo evaluar y usar los certificados ECDSA en AWS Certificate Manager.

ACM administra la renovación y el aprovisionamiento de certificados de ACM. La renovación automática permite evitar el tiempo de inactividad debido a certificados configurados incorrectamente, revocados o expirados. Para obtener más información, consulte Renovación administrada de certificados en AWS Certificate Manager.

Cada certificado de ACM debe incluir al menos un nombre de dominio completo (FQDN), al igual que nombres adicionales. Por ejemplo, un certificado para www.example.com también puede incluir www.example.net. Esto también se aplica a los dominios raíz (dominios de vértice de zona o sin prefijo). Puede solicitar un certificado para www.example.com e incluir example.com. Para obtener más información, consulte AWS Certificate ManagerCertificados públicos de .

Se deben cumplir los siguientes requisitos de Punycode de los Nombres de dominio internacionalizados:

Los certificados de ACM son válidos durante 13 meses (395 días).

ACM permite utilizar un asterisco (*) en el nombre de dominio para crear un certificado de comodín que pueda proteger varios sitios en el mismo dominio. Por ejemplo, *.example.com protege www.example.com e images.example.com.

En un certificado de comodín, el asterisco (*) debe estar en la posición más a la izquierda del nombre de dominio y proteger un nivel de subdominio. Por ejemplo, *.example.com protege a login.example.com y test.example.com, pero no a test.login.example.com. Además, *.example.com solo protege los subdominios, pero no al dominio raíz o ápex (example.com). Puede solicitar un certificado para un dominio raíz o para sus subdominios especificando varios nombres de dominio, como example.com y *.example.com.