Características e limitações do certificado público do AWS Certificate Manager

Os certificados públicos fornecidos pelo ACM têm as características e limitações a seguir. Essas características se aplicam apenas aos certificados fornecidos pelo ACM. Elas podem não se aplicar a certificados importados.

Confiança de navegadores e aplicações

Os certificados do ACM são da confiança de todos os principais navegadores, incluindo Google Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari. Os navegadores exibem um ícone de cadeado quando conectados por TLS a sites que usam certificados do ACM. Java também confia nos certificados do ACM.

Autoridade certificadora e hierarquia

Os certificados públicos que você solicitou por meio do ACM são obtidos da Amazon Trust Services, uma autoridade de certificação (CA) pública gerenciada pela Amazon. As Amazon Root CAs 1 a 4 são assinadas pela Starfield G2 Root Certificate Authority - G2. A raiz Starfield é confiável no Android (versões mais novas do Gingerbread) e iOS (versão 4.1+). As raízes da Amazon são confiáveis no iOS 11+. Os navegadores, aplicações ou sistemas operacionais que incluam as raízes da Amazon ou Starfield confiarão nos certificados públicos do ACM.

O ACM emite certificados preliminares ou da entidade final aos clientes por meio de CAs intermediárias, atribuídas aleatoriamente com base no tipo de certificado (RSA ou ECDSA). O ACM não fornece informações intermediárias de CA devido a essa seleção aleatória.

Validação de domínio (DV)

Os certificados do ACM têm validação de domínio, identificando somente um nome de domínio. Ao solicitar um certificado do ACM, você deve provar a propriedade ou o controle de todos os domínios especificados. Você pode validar a propriedade usando e-mail ou DNS. Para obter mais informações, consulte Validação de e-mail do AWS Certificate Manager e Validação de DNS do AWS Certificate Manager.

Validação por HTTP

O ACM agora oferece suporte à validação por HTTP para verificação da propriedade do domínio ao emitir certificados TLS públicos para uso com o CloudFront. Esse método usa redirecionamentos HTTP para provar a propriedade do domínio e oferece renovação automática semelhante à validação de DNS. A validação por HTTP atualmente está disponível somente por meio do atributo CloudFront Distribution Tenants.

Redirecionamento HTTP

Para validação por HTTP, o ACM fornece um URL RedirectFrom e um URL RedirectTo. Você deve configurar um redirecionamento de RedirectFrom para RedirectTo para demonstrar controle do domínio. O URL RedirectFrom inclui o domínio validado, enquanto RedirectTo aponta para um local controlado pelo ACM na infraestrutura do CloudFront que contém um token de validação exclusivo.

Gerenciado por

Os certificados no ACM gerenciados por outro serviço mostram a identidade desse serviço no campo ManagedBy. Para certificados que usam a validação por HTTP com o CloudFront, esse campo exibe “CLOUDFRONT”. Esses certificados só podem ser usados por meio do CloudFront. O campo ManagedBy aparece nas APIs ListCertificates e DescribeCertificate e nas páginas de detalhes e inventário dos certificados no console do ACM.

O campo ManagedBy é mutuamente excludente com o atributo “Pode ser usado com”. Para certificados gerenciados pelo CloudFront, você não pode adicionar novos usos por meio de outros serviços da AWS. Você só pode usar esses certificados com mais recursos por meio da API do CloudFront.

Rotação de CA intermediária e raiz

A Amazon pode descontinuar uma CA intermediária sem aviso prévio para manter uma infraestrutura de certificados resiliente. Essas mudanças não afetam os clientes. Para obter mais informações, consulte “Amazon apresenta autoridades de certificação intermediárias dinâmicas”.

Se a Amazon descontinuar uma CA raiz, a alteração ocorrerá tão rapidamente quanto necessário. A Amazon usará todos os métodos disponíveis para notificar os clientes da AWS, incluindo AWS Health Dashboard, e-mail e contato com gerentes técnicos de contas.

Acesso ao firewall para revogação

Os certificados da entidade final revogados usam OCSP e CRLs para verificar e publicar informações de revogação. Alguns firewalls de clientes podem precisar de regras adicionais para permitir esses mecanismos.

Use esses padrões curingas de URL para identificar o tráfego de revogação:

OCSP

http://ocsp.?????.amazontrust.com

http://ocsp.*.amazontrust.com
CRL

http://crl.?????.amazontrust.com/?????.crl

http://crl.*.amazontrust.com/*.crl

Um asterisco (*) representa um ou mais caracteres alfanuméricos, um ponto de interrogação (?) representa um único caractere alfanumérico e um símbolo do jogo da velha (#) representa um número.

Algoritmos-chave

Os certificados devem especificar um algoritmo e um tamanho de chave. O ACM oferece suporte aos seguintes algoritmos de chave pública RSA e ECDSA:

RSA de 1024 bits (RSA_1024)
RSA de 2048 bits (RSA_2048)*
RSA de 3072 bits (RSA_3072)
RSA de 4096 bits (RSA_4096)
ECDSA de 256 bits (EC_prime256v1)*
ECDSA de 384 bits (EC_secp384r1)*
ECDSA de 521 bits (EC_secp521r1)

O ACM pode solicitar novos certificados usando os algoritmos marcados com um asterisco (*). Os outros algoritmos são somente para certificados importados.

nota

Quando você solicita um certificado PKI privado assinado por uma CA da CA Privada da AWS, a família de algoritmos de assinatura (RSA ou ECDSA) deve corresponder à família de algoritmos da chave secreta da CA.

As chaves ECDSA são menores e mais eficientes computacionalmente do que as chaves RSA de segurança comparável, mas nem todos os clientes de rede oferecem suporte ao ECDSA. Esta tabela, adaptada do NIST, compara os tamanhos das chaves RSA e ECDSA (em bits) para obter força de segurança equivalente:

Comparando segurança para algoritmos e chaves
Força de segurança	Tamanho da chave RSA	Tamanho da chave ECDSA
128	3072	256
192	7680	384
256	15360	521

A força de segurança, como uma potência de 2, está relacionada ao número de tentativas necessárias para quebrar a criptografia. Por exemplo, uma chave RSA de 3072 bits e uma chave ECDSA de 256 bits podem ser recuperadas com não mais de ^2.128 suposições.

Para ajudar a escolher um algoritmo, consulte a publicação no blog da AWS Como avaliar e usar certificados ECDSA no AWS Certificate Manager.

Importante

Os Serviços integrados só permitem os algoritmos e tamanhos de chave com suporte para seus recursos. O suporte varia dependendo de o certificado ser importado para o IAM ou para o ACM. Para obter detalhes, consulte a documentação de cada serviço:

Para o Elastic Load Balancing, consulte Listeners HTTPS para seu Application Load Balancer.
Para o CloudFront, consulte Cifras e protocolos SSL/TLS suportados.

Renovação e implantação gerenciadas

O ACM gerencia a renovação e o provisionamento dos certificados correspondentes. A renovação automática ajuda a evitar tempo de inatividade devido a certificados com erros de configuração, revogados ou expirados. Para obter mais informações, consulte Renovação gerenciada de certificados no AWS Certificate Manager.

Vários nomes de domínio

Cada certificado do ACM deve incluir pelo menos um nome de domínio totalmente qualificado (FQDN) e pode incluir mais nomes. Por exemplo, um certificado para www.example.com também pode incluir www.example.net. Isso também se aplica a domínios simples (ápex da zona ou domínios nus). Você pode solicitar um certificado para www.example.com e incluir example.com. Para obter mais informações, consulte AWS Certificate ManagerCertificados públicos da .

Punycode

Os requisitos de Punycode a seguir para Nomes de domínio internacionalizados devem ser atendidos:

Nomes de domínio que comecem com o padrão “<character><character>--” devem corresponder a “xn--”.
Nomes de domínio que comecem com “xn--” também devem ser nomes de domínio internacionalizado válidos.

Exemplos de Punycode
Nome do domínio	Satisfaz o n.º 1	Satisfaz o n.º 2	Permitido	Observação
exemplo.com	n/a	n/a	✓	Não começa com “<character><character>--”
a--example.com	n/a	n/a	✓	Não começa com “<character><character>--”
abc--example.com	n/a	n/a	✓	Não começa com “<character><character>--”
xn--xyz.com	Sim	Sim	✓	Nome de domínio internacionalizado válido (é resolvido para 简.com)
xn--example.com	Sim	Não	✗	Não é um nome de domínio internacionalizado válido
ab--example.com	Não	Não	✗	Deve começar com “xn--”

Período de validade

Os certificados do ACM são válidos por 13 meses (395 dias).

Nomes curinga

O ACM permite um asterisco (*) no nome de domínio para criar um certificado curinga para proteger vários sites no mesmo domínio. Por exemplo, *.example.com protege www.example.com e images.example.com.

Em um certificado curinga, o asterisco (*) deve estar na posição mais à esquerda do nome do domínio e só protege um nível de subdomínio. Por exemplo, *.example.com protege login.example.com e test.example.com, mas não test.login.example.com. Além disso, *.example.com protege apenas os subdomínios, não o domínio vazio ou apex (example.com). É possível solicitar um certificado para um domínio vazio e seus subdomínios especificando vários nomes de domínio, como example.com e *.example.com.

Importante

Se você usar CloudFront, observe que a validação por HTTP não suporta certificados curingas. Para certificados curingas, você deve usar a validação por DNS ou a validação por e-mail. É recomendável a validação por DNS porque ela oferece suporte à renovação automática do certificado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Certificados públicos

Solicitar um certificado público