AWS Certificate Manager karakteristik dan batasan sertifikat publik

ACMsertifikat dipercaya oleh semua browser utama termasuk Google Chrome, Microsoft Internet Explorer dan Microsoft Edge, Mozilla Firefox, dan Apple Safari. Browser yang mempercayai ACM sertifikat menampilkan ikon kunci di bilah status atau bilah alamat saat dihubungkan olehSSL/TLSke situs yang menggunakan ACM sertifikat. ACMSertifikat juga dipercaya oleh Java.

Sertifikat publik yang Anda minta ACM diperoleh dari Amazon Trust Services, otoritas sertifikat publik (CA) yang dikelola Amazon. Amazon Root CAs 1 hingga 4 ditandatangani silang oleh root lama bernama Starfield G2 Root Certificate Authority - G2. Root Starfield dipercaya pada perangkat Android dimulai dengan versi Gingerbread yang lebih baru, dan oleh iOS mulai dari versi 4.1. Akar Amazon dipercaya oleh iOS mulai dari versi 11. Setiap browser, aplikasi, atau OS yang mencakup akar Amazon atau Starfield akan mempercayai sertifikat publik yang diperoleh dariACM.

Sertifikat daun atau entitas akhir yang diterbitkan kepada ACM pelanggan memperoleh otoritas mereka dari root CA Amazon Trust Services melalui salah satu dari beberapa perantara. CAs ACMsecara acak menetapkan CA perantara berdasarkan jenis sertifikat (RSAatauECDSA) yang diminta. Karena CA perantara dipilih secara acak setelah permintaan dibuat, ACM tidak memberikan informasi CA perantara.

ACMsertifikat adalah domain yang divalidasi. Artinya, bidang subjek ACM sertifikat mengidentifikasi nama domain dan tidak lebih. Ketika Anda meminta ACM sertifikat, Anda harus memvalidasi bahwa Anda memiliki atau mengontrol semua domain yang Anda tentukan dalam permintaan Anda. Anda dapat memvalidasi kepemilikan dengan menggunakan email atauDNS. Untuk informasi selengkapnya, silakan lihat AWS Certificate Manager validasi email dan AWS Certificate Manager DNSvalidasi.

Untuk mempertahankan infrastruktur sertifikat yang tangguh dan gesit, Amazon dapat sewaktu-waktu memilih untuk menghentikan CA perantara tanpa pemberitahuan sebelumnya. Perubahan semacam ini tidak berdampak pada pelanggan. Untuk informasi lebih lanjut, lihat posting blog, “Amazon memperkenalkan otoritas sertifikat menengah dinamis.”

Jika Amazon menghentikan root CA, perubahan akan terjadi secepat yang diperlukan oleh keadaan. Karena dampak besar dari perubahan tersebut, Amazon akan menggunakan setiap mekanisme yang tersedia untuk memberi tahu AWS pelanggan, termasuk AWS Health Dashboard, email ke pemilik akun, dan penjangkauan ke manajer akun teknis.

Jika sertifikat entitas akhir tidak lagi dapat dipercaya, maka akan dicabut. OCSPdan CRLs merupakan mekanisme standar yang digunakan untuk memverifikasi apakah sertifikat telah dicabut atau tidak. OCSPdan CRLs merupakan mekanisme standar yang digunakan untuk mempublikasikan informasi pencabutan. Beberapa firewall pelanggan mungkin memerlukan aturan tambahan untuk memungkinkan mekanisme ini berfungsi.

Contoh pola URL wildcard berikut dapat digunakan untuk mengidentifikasi lalu lintas pencabutan. Wildcard asterisk (*) mewakili satu atau lebih karakter alfanumerik, tanda tanya (?) mewakili karakter alfanumerik tunggal, dan tanda hash (#) mewakili angka.

Sertifikat harus menentukan algoritma dan ukuran kunci. Saat ini, algoritma kunci publik berikut RSA dan Elliptic Curve Digital Signature Algorithm (ECDSA) didukung oleh. ACM ACMdapat meminta masalah sertifikat baru menggunakan algoritma yang ditandai dengan tanda bintang (*). Algoritma yang tersisa hanya didukung untuk sertifikat yang diimpor.

ECDSAkunci lebih kecil, menawarkan keamanan yang sebanding dengan RSA kunci tetapi dengan efisiensi komputasi yang lebih besar. Namun, ECDSA tidak didukung oleh semua klien jaringan. Tabel berikut, diadaptasi dari NIST, menunjukkan kekuatan keamanan yang representatif dari RSA dan ECDSA dengan kunci berbagai ukuran. Semua nilai dalam bit.

Kekuatan keamanan, dipahami sebagai kekuatan 2, terkait dengan jumlah tebakan yang diperlukan untuk memecahkan enkripsi. ^{Misalnya, kunci 3072-bit dan RSA kunci 256-bit ECDSA dapat diambil dengan tidak lebih dari 2 128 tebakan.}

Untuk informasi yang membantu Anda memilih algoritme, lihat AWS posting blog Cara mengevaluasi dan menggunakan ECDSA sertifikat di AWS Certificate Manager.

ACMmengelola proses memperbarui ACM sertifikat dan penyediaan sertifikat setelah diperpanjang. Perpanjangan otomatis dapat membantu Anda menghindari waktu henti karena sertifikat yang tidak dikonfigurasi, dicabut, atau kedaluwarsa secara tidak benar. Untuk informasi selengkapnya, lihat Perpanjangan sertifikat terkelola di AWS Certificate Manager.

Setiap ACM sertifikat harus menyertakan setidaknya satu nama domain yang memenuhi syarat (FQDN), dan Anda dapat menambahkan nama tambahan jika Anda mau. Misalnya, ketika Anda membuat ACM sertifikat untukwww.example.com, Anda juga dapat menambahkan nama www.example.net jika pelanggan dapat mencapai situs Anda dengan menggunakan salah satu nama. Ini juga berlaku untuk domain telanjang (juga dikenal sebagai zona puncak atau domain telanjang). Artinya, Anda dapat meminta ACM sertifikat untuk www.example.com dan menambahkan nama example.com. Untuk informasi selengkapnya, lihat AWS Certificate Manager sertifikat publik.

Persyaratan Punycode berikut yang berkaitan dengan Nama Domain Internasional harus dipenuhi:

Masa berlaku ACM sertifikat adalah 13 bulan (395 hari).

ACMmemungkinkan Anda menggunakan tanda bintang (*) di nama domain untuk membuat ACM sertifikat yang berisi nama wildcard yang dapat melindungi beberapa situs dalam domain yang sama. Misalnya, *.example.com melindungi www.example.com danimages.example.com.