ACMcaratteristiche del certificato

I certificati pubblici tramite cui richiedi ACM sono ottenuti da Amazon Trust Services, un'autorità di certificazione pubblica (CA) gestita da Amazon. Amazon Root da CAs 1 a 4 utilizza la firma incrociata di una vecchia radice denominata Starfield G2 Root Certificate Authority - G2. Starfield root è considerato affidabile sui dispositivi Android a partire dalle versioni successive di Gingerbread e da iOS a partire dalla versione 4.1. Le root di Amazon sono considerate affidabili da iOS a partire dalla versione 11. Qualsiasi browser, applicazione o sistema operativo che includa le radici di Amazon o Starfield si fiderà dei certificati pubblici ottenuti daACM.

I certificati leaf o end-entity ACM emessi ai clienti derivano la loro autorità da una CA principale di Amazon Trust Services tramite uno qualsiasi dei numerosi intermediari. CAs ACMassegna casualmente una CA intermedia in base al tipo di certificato (o) richiesto. RSA ECDSA Poiché la CA intermedia viene selezionata casualmente dopo la generazione della richiesta, ACM non fornisce informazioni sulla CA intermedia.

ACMi certificati sono considerati affidabili da tutti i principali browser, tra cui Google Chrome, Microsoft Internet Explorer e Microsoft Edge, Mozilla Firefox e Apple Safari. I browser che considerano attendibili ACM i certificati visualizzano un'icona a forma di lucchetto nella barra di stato o nella barra degli indirizzi quando sono connessi tramiteSSL/TLSa siti che utilizzano ACM certificati. ACMi certificati sono considerati affidabili anche da Java.

Per mantenere un'infrastruttura di certificati resiliente e agile, Amazon può in qualsiasi momento scegliere di interrompere la fornitura di una CA intermedia senza preavviso. Modifiche di questo tipo non hanno alcun impatto sui clienti. Per ulteriori informazioni, consulta il post di blog “Amazon introduce autorità di certificazione intermedie dinamiche”.

Nell'improbabile caso in cui Amazon interrompa la fornitura di una CA root, la modifica avverrà con la rapidità necessaria alle circostanze. A causa del grande impatto di tale cambiamento, Amazon utilizzerà tutti i meccanismi disponibili per avvisare AWS i clienti, tra cui l' AWS Health Dashboard e-mail ai proprietari degli account e il contatto con i responsabili tecnici degli account.

Se un certificato end-entity non è più affidabile, verrà revocato. OCSPe CRLs sono i meccanismi standard utilizzati per verificare se un certificato è stato revocato o meno. OCSPe CRLs sono i meccanismi standard utilizzati per pubblicare le informazioni sulla revoca. Alcuni firewall dei clienti potrebbero richiedere regole aggiuntive per consentire il funzionamento di questi meccanismi.

I seguenti modelli di caratteri URL jolly possono essere utilizzati per identificare il traffico di revoca. Un asterisco (*) rappresenta uno o più caratteri alfanumerici, un punto interrogativo (?) rappresenta un singolo carattere alfanumerico e un cancelletto (#) rappresenta un numero.

I certificati ACM sono convalidati dal dominio. Cioè, il campo oggetto di un ACM certificato identifica un nome di dominio e nient'altro. Quando richiedi un ACM certificato, devi confermare di possedere o controllare tutti i domini specificati nella richiesta. Puoi convalidare la proprietà utilizzando l'e-mail o. DNS Per ulteriori informazioni, consulta Convalida e-mail e DNSconvalida.

Il periodo di validità dei ACM certificati è di 13 mesi (395 giorni).

ACMgestisce il processo di rinnovo dei ACM certificati e il rifornimento dei certificati dopo il loro rinnovo. Il rinnovo automatico consente di evitare tempi di inattività causati da certificati non configurati in modo corretto, revocati o scaduti. Per ulteriori informazioni, consulta Rinnovo gestito per ACM i certificati.

Ogni ACM certificato deve includere almeno un nome di dominio completo (FQDN) ed è possibile aggiungere altri nomi se lo si desidera. Ad esempio, quando crei un ACM certificato perwww.example.com, puoi anche aggiungere il nome www.example.net se i clienti possono raggiungere il tuo sito utilizzando uno dei due nomi. Ciò vale anche per domini essenziali (noti anche come apex di zona o domini nudi). Cioè, puoi richiedere un ACM certificato per www.example.com e aggiungere il nome example.com. Per ulteriori informazioni, consulta Richiesta di un certificato pubblico.

ACMconsente di utilizzare un asterisco (*) nel nome di dominio per creare un ACM certificato contenente un nome jolly in grado di proteggere diversi siti nello stesso dominio. Ad esempio, *.example.com protegge www.example.com e images.example.com.

Un certificato deve specificare un algoritmo e la dimensione della chiave di accesso. Attualmente, i seguenti algoritmi a chiave pubblica RSA e Elliptic Curve Digital Signature Algorithm (ECDSA) sono supportati da. ACM ACMpuò richiedere l'emissione di nuovi certificati utilizzando algoritmi contrassegnati da un asterisco (*). Gli algoritmi rimanenti sono supportati solo per i certificati importati.

ECDSAle chiavi sono più piccole e offrono una sicurezza paragonabile a quella RSA delle chiavi ma con una maggiore efficienza di elaborazione. Tuttavia, non ECDSA è supportato da tutti i client di rete. La tabella seguente, adattata da NIST, mostra il livello di sicurezza rappresentativo di RSA e ECDSA con chiavi di varie dimensioni. Tutti i valori sono in bit.

La forza di sicurezza, intesa come potenza di 2, è correlata al numero di tentativi necessari per violare la crittografia. ^{Ad esempio, sia una chiave a 3072 bit che una RSA chiave a 256 bit ECDSA possono essere recuperate con non più di 2.128 ipotesi.}

Per informazioni su come scegliere un algoritmo, consulta il post del AWS blog How to assessment and use certificate in. ECDSA AWS Certificate Manager

I seguenti requisiti Punycode relativi a Nomi di dominio internazionalizzati devono essere soddisfatti:

Tieni presente quanto segue: