Características y limitaciones de los certificados públicos de AWS Certificate Manager

Los certificados de ACM son de confianza para la mayoría de los principales navegadores, como Google Chrome, Microsoft Internet Explorer y Microsoft Edge, Mozilla Firefox y Apple Safari. Los navegadores que confían en los certificados de ACM muestran un icono de candado en la barra de estado o la barra de direcciones cuando se conectan por SSL/TLS a sitios que utilizan certificados de ACM. Los certificados de ACM también son de confianza para Java.

Los certificados públicos que se solicitan a través de ACM se obtienen de Amazon Trust Services, una entidad de certificación (CA) pública administrada por Amazon. Las CA raíz de Amazon de la 1 a la 4 están firmadas de forma cruzada por una raíz más antigua denominada Starfield G2 Root Certificate Authority - G2. La raíz Starfield es de confianza en dispositivos Android a partir de las versiones posteriores a Gingerbread, y en iOS a partir de la versión 4.1. Las raíces de Amazon son de confianza en iOS a partir de la versión 11. Cualquier navegador, aplicación o sistema operativo que incluya las raíces de Amazon o Starfield confiará en los certificados públicos obtenidos de ACM.

Los certificados de hoja o entidad final que ACM emite a los clientes obtienen su autoridad de una CA raíz de Amazon Trust Services a través de alguna de las distintas CA intermedias. ACM asigna aleatoriamente una CA intermedia en función del tipo de certificado (RSA o ECDSA) solicitado. Puesto que la CA intermedia se selecciona aleatoriamente después de generar la solicitud, ACM no proporciona información sobre la CA intermedia.

Los certificados de ACM son validados por dominio. Es decir, el campo de asunto de un certificado de ACM identifica solo a un nombre de dominio. Cuando solicita un certificado de ACM, debe validar que usted es el propietario de todos los dominios que ha especificado en su solicitud, o bien que es quien los controla. Puede validar la titularidad a través del correo electrónico o DNS. Para obtener más información, consulte Validación por correo electrónico de AWS Certificate Manager y Validación por DNS de AWS Certificate Manager.

Con el fin de mantener una infraestructura de certificados resiliente y ágil, Amazon puede decidir en cualquier momento dejar de utilizar una CA intermedia sin previo aviso. Este tipo de cambios no afectan a los clientes. Para obtener más información, consulte la entrada de blog “Amazon introduces dynamic intermediate certificate authorities” (Amazon presenta las entidades de certificación intermedias dinámicas).

En el improbable caso de que Amazon deje de utilizar una CA raíz, el cambio se producirá tan pronto como lo requieran las circunstancias. Debido al gran impacto que supone un cambio de este tipo, Amazon utilizará todos los mecanismos disponibles para notificar a los clientes de AWS, incluyendo el AWS Health Dashboard, el envío de correos electrónicos a los propietarios de las cuentas y la comunicación con los administradores técnicos de cuentas.

Si un certificado de entidad final deja de ser de confianza, se revocará. El protocolo OCSP y las listas CRL son los mecanismos estándar que se utilizan para comprobar si un certificado se ha revocado o no. El protocolo OCSP y las listas CRL son los mecanismos estándar que se utilizan para publicar información sobre revocación. Es posible que los firewalls de algunos clientes necesiten reglas adicionales para permitir el funcionamiento de estos mecanismos.

Los siguientes ejemplos de patrones de caracteres comodín de URL se pueden utilizar para identificar tráfico de revocación. Un asterisco (*) representa uno o varios caracteres alfanuméricos, un signo de interrogación de cierre (?) representa un único carácter alfanumérico, y una almohadilla (#) representa un número.

Un certificado debe especificar un algoritmo y un tamaño de clave. Actualmente, ACM admite los siguientes algoritmos de clave pública (ECDSA) y el algoritmo de firma digital de curva elíptica (ECDSA). ACM puede solicitar la emisión de nuevos certificados a través de algoritmos marcados con un asterisco (*). Los algoritmos restantes solo son compatibles con los certificados importados.

Las claves ECDSA son más pequeñas y ofrecen una seguridad comparable a la de las claves RSA, pero con una mayor eficiencia de computación. Sin embargo, ECDSA no es compatible con todos los clientes de red. La siguiente tabla, adaptada del NIST, muestra el nivel de seguridad representativo de RSA y ECDSA con claves de varios tamaños. Todos los valores se muestran en bits.

El nivel de seguridad, entendido como una potencia de 2, está relacionado con la cantidad de intentos necesarios para romper el cifrado. Por ejemplo, se pueden recuperar tanto una clave RSA de 3072 bits como una clave ECDSA de 256 bits sin más de 2¹²⁸ intentos.

Para obtener información que le ayude a elegir un algoritmo, consulte la entrada del blog de AWS Cómo evaluar y usar los certificados ECDSA en AWS Certificate Manager.

ACM administra el proceso de renovación de los certificados de ACM y el aprovisionamiento de estos una vez renovados. La renovación automática puede ayudarle a evitar el tiempo de inactividad debido a certificados configurados incorrectamente, revocados o caducados. Para obtener más información, consulte Renovación administrada de certificados en AWS Certificate Manager.

Cada certificado de ACM debe incluir al menos un nombre de dominio completo (FQDN), pero puede agregar nombres adicionales si lo desea. Por ejemplo, cuando crea un certificado de ACM para www.example.com, puede agregar el nombre www.example.net si los clientes pueden acceder a su sitio utilizando cualquiera de los nombres. Lo mismo sucede con los dominios vacíos (también conocidos como ápex de zona o dominios desnudos). Es decir, puede solicitar un certificado de ACM para www.example.com y agregar el nombre example.com. Para obtener más información, consulte Certificados públicos de AWS Certificate Manager.

Se deben cumplir los siguientes requisitos de Punycode relativos a los Nombres de dominio internacionalizados:

El periodo de validez de los certificados de ACM es de 13 meses (395 días).

ACM permite utilizar un asterisco (*) en el nombre de dominio para crear un certificado de ACM que contenga un nombre comodín que pueda proteger varios sitios en el mismo dominio. Por ejemplo, *.example.com protege www.example.com e images.example.com.