AWS Certificate Manager caractéristiques et limites des certificats publics

ACMles certificats sont approuvés par tous les principaux navigateurs, notamment Google Chrome, Microsoft Internet Explorer et Microsoft Edge, Mozilla Firefox et Apple Safari. Les navigateurs qui font confiance aux ACM certificats affichent une icône représentant un cadenas dans leur barre d'état ou leur barre d'adresse lorsqu'ils sont connectés SSL TLS par/ à des sites utilisant ACM des certificats. ACMles certificats sont également approuvés par Java.

Les certificats publics que vous demandez ACM sont obtenus auprès d'Amazon Trust Services, une autorité de certification publique (CA) gérée par Amazon. Amazon Root CAs 1 à 4 est signé croisé par une ancienne racine nommée Starfield G2 Root Certificate Authority - G2. La racine Starfield est approuvée sur les appareils Android à partir des versions ultérieures de Gingerbread, et sur iOS à partir de la version 4.1. Les racines Amazon sont approuvées par iOS à partir de la version 11. Tout navigateur, application ou système d'exploitation incluant les racines d'Amazon ou de Starfield fera confiance aux certificats publics obtenus auprès deACM.

Les certificats originaux ou d'entité finale délivrés ACM aux clients tirent leur autorité d'une autorité de certification racine Amazon Trust Services via l'un des nombreux intermédiairesCAs. ACMassigne de manière aléatoire une autorité de certification intermédiaire en fonction du type de certificat (RSAouECDSA) demandé. Étant donné que l'autorité de certification intermédiaire est sélectionnée de manière aléatoire après la génération de la demande, ACM elle ne fournit pas d'informations d'autorité de certification intermédiaire.

Les certificats ACM sont des certificats de domaine validé. En d'autres termes, le champ d'objet d'un ACM certificat identifie un nom de domaine et rien de plus. Lorsque vous demandez un ACM certificat, vous devez confirmer que vous possédez ou contrôlez tous les domaines que vous spécifiez dans votre demande. Vous pouvez valider la propriété par e-mail ouDNS. Pour plus d’informations, consultez AWS Certificate Manager validation par e-mail et AWS Certificate Manager DNSvalidation.

Afin de maintenir une infrastructure de certificats résiliente et agile, Amazon est capable à tout moment de mettre fin à une autorité de certification intermédiaire sans préavis. Ces modifications n'ont aucun impact sur les clients. Pour plus d'informations, consultez la rubrique, "Amazon introduit des autorités de certification intermédiaires dynamiques."

Dans le cas peu probable où Amazon mettrait fin à une autorité de certification racine, le changement se produira aussi rapidement que les circonstances l'exigent.. En raison de l'impact important d'un tel changement, Amazon utilisera tous les mécanismes disponibles pour notifier AWS clients, y compris le AWS Health Dashboard, des e-mails aux propriétaires de comptes et des contacts avec les responsables techniques des comptes.

Si un certificat d'entité finale n'est plus fiable, il sera révoqué. OCSPet CRLs sont les mécanismes standard utilisés pour vérifier si un certificat a été révoqué ou non. OCSPet CRLs sont les mécanismes standard utilisés pour publier les informations de révocation. Certains pare-feux clients peuvent nécessiter des règles supplémentaires susceptibles de faire fonctionner ces mécanismes.

Les exemples de modèles de URL caractères génériques suivants peuvent être utilisés pour identifier le trafic de révocation. Un astérisque (*) représente un ou plusieurs caractères alphanumériques, un point d'interrogation (?) représente un seul caractère alphanumérique et un dièse (#) représente un chiffre.

Un certificat doit indiquer un algorithme et la taille de la clé. Actuellement, les algorithmes à clé publique suivants RSA et Elliptic Curve Digital Signature Algorithm (ECDSA) sont pris en charge parACM. ACMpeut demander l'émission de nouveaux certificats à l'aide d'algorithmes marqués d'un astérisque (*). Les autres algorithmes sont pris en charge uniquement par les certificats importés.

ECDSAles clés sont plus petites, offrant une sécurité comparable à celle RSA des clés, mais avec une plus grande efficacité informatique. Cependant, il n'ECDSAest pas pris en charge par tous les clients du réseau. Le tableau suivant, adapté de NIST, montre le niveau de sécurité représentatif de RSA et ECDSA avec des clés de différentes tailles. Toutes les valeurs sont exprimées en bits.

La force de sécurité, comprise comme une puissance de 2, est liée au nombre de suppositions nécessaires pour casser le chiffrement. ^{Par exemple, une clé de 3072 bits et une RSA clé de 256 bits ECDSA peuvent être récupérées avec un maximum de 2 128 suppositions.}

Pour obtenir des informations qui vous aideront à choisir un algorithme, consultez le AWS billet de blog Comment évaluer et utiliser ECDSA les certificats dans AWS Certificate Manager.

ACMgère le processus de renouvellement des ACM certificats et de provisionnement des certificats après leur renouvellement. Le renouvellement automatique peut vous aider à éviter les temps d'arrêt dus aux certificats mal configurés, révoqués ou expirés. Pour de plus amples informations, veuillez consulter Renouvellement géré des certificats dans AWS Certificate Manager.

Chaque ACM certificat doit inclure au moins un nom de domaine complet (FQDN), et vous pouvez ajouter des noms supplémentaires si vous le souhaitez. Par exemple, lorsque vous créez un ACM certificat pourwww.example.com, vous pouvez également ajouter le nom www.example.net si les clients peuvent accéder à votre site en utilisant l'un ou l'autre des noms. C'est également vrai pour les noms de domaine stricts (aussi appelés domaines de zone apex ou domaines naked). En d'autres termes, vous pouvez demander un ACM certificat pour www.exemple.com et ajouter le nom exemple.com. Pour de plus amples informations, veuillez consulter AWS Certificate Manager certificats publics.

Les exigences Punycode suivantes relatives aux noms de domaine internationalisés doivent être remplies :

La durée de validité des ACM certificats est de 13 mois (395 jours).

ACMvous permet d'utiliser un astérisque (*) dans le nom de domaine pour créer un ACM certificat contenant un nom générique capable de protéger plusieurs sites du même domaine. Par exemple, *.example.com protège www.example.com et images.example.com.