AWS Certificate Manager características e limitações do certificado público - AWS Certificate Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Certificate Manager características e limitações do certificado público

Os certificados públicos fornecidos pelo ACM têm as características e limitações a seguir. Essas características se aplicam apenas aos certificados fornecidos pelo ACM. Elas podem não se aplicar a certificados importados.

Confiança em navegadores e aplicativos

Os certificados do ACM são da confiança de todos os principais navegadores, incluindo Google Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari. Os navegadores exibem um ícone de cadeado quando conectados por TLS a sites que usam certificados do ACM. Java também confia nos certificados do ACM.

Autoridade e hierarquia de certificação

Os certificados públicos que você solicitou por meio do ACM são obtidos da Amazon Trust Services, uma autoridade de certificação (CA) pública gerenciada pela Amazon. O Amazon Root CAs 1 a 4 tem assinatura cruzada pela Starfield G2 Root Certificate Authority — G2. A raiz Starfield é confiável no Android (versões mais novas do Gingerbread) e iOS (versão 4.1+). As raízes da Amazon são confiáveis no iOS 11+. Navegadores, aplicativos, OSes incluindo raízes da Amazon ou Starfield, confiarão nos certificados públicos do ACM.

O ACM emite certificados preliminares ou de entidade final aos clientes por meio de certificados intermediários CAs, atribuídos aleatoriamente com base no tipo de certificado (RSA ou ECDSA). O ACM não fornece informações intermediárias de CA devido a essa seleção aleatória.

Validação de domínio (DV)

Os certificados do ACM têm validação de domínio, identificando somente um nome de domínio. Ao solicitar um certificado do ACM, você deve provar a propriedade ou o controle de todos os domínios especificados. Você pode validar a propriedade usando e-mail ou DNS. Para obter mais informações, consulte Validação de e-mail do AWS Certificate Manager e Validação de DNS do AWS Certificate Manager.

Validação por HTTP

O ACM oferece suporte à validação HTTP para verificação da propriedade do domínio ao emitir certificados TLS públicos para uso com. CloudFront Esse método usa redirecionamentos HTTP para provar a propriedade do domínio e oferece renovação automática semelhante à validação de DNS. Atualmente, a validação de HTTP só está disponível por meio do recurso CloudFront Distribution Tenants.

Redirecionamento HTTP

Para validação por HTTP, o ACM fornece um URL RedirectFrom e um URL RedirectTo. Você deve configurar um redirecionamento de RedirectFrom para RedirectTo para demonstrar controle do domínio. O RedirectFrom URL inclui o domínio validado, enquanto RedirectTo aponta para um local controlado pelo ACM na CloudFront infraestrutura contendo um token de validação exclusivo.

Gerenciado por

Os certificados no ACM gerenciados por outro serviço mostram a identidade desse serviço no campo ManagedBy. Para certificados usando validação HTTP com CloudFront, esse campo exibe “CLOUDFRONT”. Esses certificados só podem ser usados por meio de CloudFront. O ManagedBy campo aparece em DescribeCertificate e e ListCertificates APIs nas páginas de detalhes e inventário de certificados no console do ACM.

O campo ManagedBy é mutuamente excludente com o atributo “Pode ser usado com”. Para certificados CloudFront gerenciados, você não pode adicionar novos usos por meio de outros AWS serviços. Você só pode usar esses certificados com mais recursos por meio da CloudFront API.

Rotação CA intermediária e raiz

A Amazon pode descontinuar uma CA intermediária sem aviso prévio para manter uma infraestrutura de certificados resiliente. Essas mudanças não afetam os clientes. Para obter mais informações, consulte “Amazon apresenta autoridades de certificação intermediárias dinâmicas”.

Se a Amazon descontinuar uma CA raiz, a alteração ocorrerá tão rapidamente quanto necessário. A Amazon usará todos os métodos disponíveis para notificar AWS os clientes Health Dashboard, incluindo e-mail e contato com gerentes técnicos de contas.

Acesso ao firewall para revogação

Os certificados de entidade final revogados usam OCSP e CRLs para verificar e publicar informações de revogação. Alguns firewalls de clientes podem precisar de regras adicionais para permitir esses mecanismos.

Use esses padrões curingas de URL para identificar o tráfego de revogação:

  • OCSP

    http://ocsp.?????.amazontrust.com

    http://ocsp.*.amazontrust.com

  • CRL

    http://crl.?????.amazontrust.com/?????.crl

    http://crl.*.amazontrust.com/*.crl

Um asterisco (*) representa um ou mais caracteres alfanuméricos, um ponto de interrogação (?) representa um único caractere alfanumérico e um símbolo do jogo da velha (#) representa um número.

Algoritmos-chave

Os certificados devem especificar um algoritmo e um tamanho de chave. O ACM oferece suporte aos seguintes algoritmos de chave pública RSA e ECDSA:

  • RSA de 1024 bits (RSA_1024)

  • RSA de 2048 bits (RSA_2048)*

  • RSA de 3072 bits (RSA_3072)

  • RSA de 4096 bits (RSA_4096)

  • ECDSA de 256 bits (EC_prime256v1)*

  • ECDSA de 384 bits (EC_secp384r1)*

  • ECDSA de 521 bits (EC_secp521r1)

O ACM pode solicitar novos certificados usando os algoritmos marcados com um asterisco (*). Os outros algoritmos são somente para certificados importados.

nota

Para certificados PKI privados assinados por uma CA Privada da AWS CA, a família de algoritmos de assinatura (RSA ou ECDSA) deve corresponder à família de algoritmos de chave secreta da CA.

As chaves ECDSA são menores e mais eficientes computacionalmente do que as chaves RSA de segurança comparável, mas nem todos os clientes de rede oferecem suporte ao ECDSA. Esta tabela, adaptada do NIST, compara os tamanhos das chaves RSA e ECDSA (em bits) para obter força de segurança equivalente:

Comparando segurança para algoritmos e chaves

Força de segurança

Tamanho da chave RSA

Tamanho da chave ECDSA

128

 3072 256

192

 7680 384

256

 15360 521

A força de segurança, como uma potência de 2, está relacionada ao número de tentativas necessárias para quebrar a criptografia. Por exemplo, uma chave RSA de 3072 bits e uma chave ECDSA de 256 bits podem ser recuperadas com não mais de 2.128 suposições.

Para obter ajuda na escolha de um algoritmo, consulte a postagem do AWS blog Como avaliar e usar certificados ECDSA em. AWS Certificate Manager

Importante

Os Serviços integrados só permitem os algoritmos e tamanhos de chave com suporte para seus recursos. O suporte varia dependendo de o certificado ser importado para o IAM ou para o ACM. Para obter detalhes, consulte a documentação de cada serviço:

Renovação e implantação gerenciadas

O ACM gerencia a renovação e o provisionamento dos certificados correspondentes. A renovação automática ajuda a evitar tempo de inatividade devido a certificados com erros de configuração, revogados ou expirados. Para obter mais informações, consulte Renovação gerenciada do certificado em AWS Certificate Manager.

Vários nomes de domínio

Cada certificado do ACM deve incluir pelo menos um nome de domínio totalmente qualificado (FQDN) e pode incluir mais nomes. Por exemplo, um certificado para www.example.com também pode incluir www.example.net. Isso também se aplica a domínios simples (ápex da zona ou domínios nus). Você pode solicitar um certificado para www.example.com e incluir example.com. Para obter mais informações, consulte AWS Certificate Manager certificados públicos.

Punycode

Os requisitos de Punycode a seguir para Nomes de domínio internacionalizados devem ser atendidos:

  1. Nomes de domínio que comecem com o padrão “<character><character>--” devem corresponder a “xn--”.

  2. Nomes de domínio que comecem com “xn--” também devem ser nomes de domínio internacionalizado válidos.

Exemplos de Punycode

Nome do domínio

Satisfaz o n.º 1

Satisfaz o n.º 2

Permitido

Observação

exemplo.com

n/a

n/a

Não começa com “<character><character>--”

a--example.com

n/a

n/a

Não começa com “<character><character>--”

abc--example.com

n/a

n/a

Não começa com “<character><character>--”

xn--xyz.com

Sim

Sim

Nome de domínio internacionalizado válido (é resolvido para 简.com)

xn--example.com

Sim

Não

Não é um nome de domínio internacionalizado válido

ab--example.com

Não

Não

Deve começar com “xn--”
Período de validade

Os certificados do ACM são válidos por 13 meses (395 dias).

Nomes curinga

O ACM permite um asterisco (*) no nome de domínio para criar um certificado curinga para proteger vários sites no mesmo domínio. Por exemplo, *.example.com protege www.example.com e images.example.com.

Em um certificado curinga, o asterisco (*) deve estar na posição mais à esquerda do nome do domínio e só protege um nível de subdomínio. Por exemplo, *.example.com protege login.example.com e test.example.com, mas não test.login.example.com. Além disso, *.example.com protege apenas os subdomínios, não o domínio vazio ou apex (example.com). É possível solicitar um certificado para um domínio vazio e seus subdomínios especificando vários nomes de domínio, como example.com e *.example.com.

Importante

Se você usa CloudFront, observe que a validação HTTP não oferece suporte a certificados curinga. Para certificados curingas, você deve usar a validação por DNS ou a validação por e-mail. É recomendável a validação por DNS porque ela oferece suporte à renovação automática do certificado.