Flujo

PKI

Autoridad de Certificado Soberana para la emisión y gestión de certificados de nivel empresarial
Horizonte

CLM

Gestión del ciclo de vida de certificados, descubrimiento, gobernanza & automatización
Habla con un experto Ver todas las integraciones

Casos de uso

Certificados TLS de servidor

Tráfico web seguro a gran escala

Inventario de certificados

Descubrir y rastrear todos los certificados

Certificados DevOps

Automatizar para pipelines CI/CD

Cifrado de correo electrónico

S/MIME para correo electrónico empresarial
Ver todos los casos de uso

Industrias

Banca & Finanzas

Sector público

Salud

Energía & servicios públicos

Aeroespacial & defensa
Ver todas las industrias

Cumplimiento

Directiva NIS2

Obligaciones de ciberseguridad de la UE

DORA

Resiliencia operativa digital

eIDAS 2.0

Identificación electrónica & confianza

RGPD

Protección de datos & privacidad

Ley de Resiliencia Cibernética

Regulación de seguridad de productos de la UE
Ver todas las regulaciones
Habla con un experto

Aprender

Guía

25 artículos

Guías y tutoriales en profundidad de PKI

Glosario

50+ términos

Terminología de PKI & criptografía

Centro de educación

Videos y recursos de aprendizaje

Documentos técnicos

Recursos técnicos en profundidad

Herramientas & Perspectivas

Decodificador Cripto

Gratis

Descifre y valide certificados

Blog & Perspectivas

Tendencias y análisis de ciberseguridad

Sala de Prensa

Noticias y actualizaciones de la empresa

Eventos & Comunidad

Seminarios web

Sesiones dirigidas por expertos sobre PKI

Eventos & Conferencias

Conócenos en todo el mundo

Kit de medios

Logotipos y recursos de marca
Contactar ventas Explorar todos los recursos
Recurso Educativo

Algunas palabras sobre ACME

11 de febrero de 2024
4 min de lectura
Contenido Experto

Publicado el

11 de febrero de 2024

Introducción

El protocolo ACME (Entorno Automatizado de Gestión de Certificados) es un protocolo de red diseñado para automatizar el proceso de validación de dominios y la entrega de certificados X.509. El protocolo fue diseñado originalmente por el Grupo de Investigación de Seguridad de Internet (ISRG) para su propio servicio de entrega de certificados: Let's Encrypt. El protocolo ahora se publica como un Estándar de Internet en RFC 8555. El ISRG está respaldado por empresas como Cisco, Google, Mozilla o Facebook.

ACME v1 fue lanzado el 12 de abril de 2016 pero ahora está obsoleto.

La última versión actualmente soportada, ACME v2, se lanzó el March 13, 2018.

La principal nueva característica de ACME v2 es el soporte de dominios comodín. No es compatible hacia atrás con ACME v1.

Visión general

Los certificados SSL se utilizan en Internet, generalmente para asegurar las comunicaciones con un sitio web. Certifican la identidad del sitio web basada en su nombre de dominio DNS. Estos certificados son emitidos por Autoridades de Certificación públicas utilizando tres estrategias de validación:

  • Validación de dominio, donde el administrador del sitio web deberá demostrar que tiene control sobre el dominio DNS

  • Validación de la organización, donde el administrador del sitio web tendrá que demostrar que representa a la organización que posee el dominio DNS

  • Validación Extendida, que añade verificaciones adicionales sobre la Validación de Organización

Esencialmente, los pasos para obtener un certificado mediante el proceso de Validación de Dominio son los siguientes:

  1. Generar una Solicitud de Firma de Certificado PKCS#10;

  2. Cargue el CSR a la página web de la CA's;

  3. Atestar la propiedad del dominio incluido en el CSR utilizando uno de los siguientes métodos:

    • Añade un desafío proporcionado por la CA en un lugar específico del servidor web;

    • Agregar un desafío proporcionado por la CA dentro de un registro DNS correspondiente al dominio solicitado;

    • Recibir un desafío proporcionado por la CA en una dirección de correo electrónico y responder a él en la página web de la CA.

  4. Reciba e instale el certificado generado.

ACME tiene como objetivo automatizar estos mecanismos utilizados en el proceso de Validación de Dominio, proporcionando un marco que automatiza el procedimiento de verificación de identidad y la entrega del certificado.

¿Desea implementar estas prácticas PKI?

Obtenga orientación experta para implementar soluciones PKI seguras para su organización.

Obtener ayuda experta

Las comunicaciones entre un servidor ACME y un cliente ACME se basan en Notación de Objetos de JavaScript (JSON) mensajes, asegurados mediante TLS y JSON Web Signature (JWS).

La emisión de un certificado a través del protocolo ACME es muy similar a la emisión de un certificado mediante el proceso habitual de CAs DV:

  1. Creación de una cuenta;

  2. Solicitud de un certificado;

  3. Demostrar la propiedad del dominio mediante el uso de un desafío.

Aquí se detalla el proceso de solicitud de un certificado usando el protocolo ACME:

El cliente debe crear una cuenta, enviar una solicitud de firma, responder a un desafío enviado por el servidor ACME y luego enviar el CSR para la firma. En la mayoría de los casos, todas estas operaciones están totalmente automatizadas.

Acerca del proceso de validación ACME

ACME especifica 3 métodos de validación diferentes, según RFC 8555:

  • prevalidación, donde la validación se lleva a cabo antes de la inscripción real en ACME, por medios distintos a ACME

  • validación http-01, donde el desafío de validación es servido por el cliente usando HTTP

  • validación dns-01, donde el desafío de validación está disponible a través de DNS

También se utiliza comúnmente un cuarto método de validación. Conocido como tls-alpn-01, se basa en la extensión TLS ALPN para entregar un certificado autofirmado que contiene el desafío.

Estos 4 métodos de validación tienen ventajas y desventajas, ya que it's no siempre es posible usar cada uno de ellos:

  • Los puertos HTTP pueden cerrarse o redirigirse agresivamente a HTTPS

  • Los servidores DNS pueden estar fortificados y no ser fácilmente utilizables por los clientes ACME

  • La extensión TLS ALPN no es compatible con todos los servidores

  • Muy pocos clientes realmente admiten el método de prevalidación, ya que Let's Encrypt no lo admite

Por lo tanto, al diseñar una solución de automatización PKI basada en ACME, la elección y arquitectura utilizadas para la validación son un punto clave.

Clientes ACME

El otro punto clave principal es la elección de los clientes ACME. Algunos productos o soluciones ya incluyen un cliente ACME, lo que hace que la elección sea obvia.

Para los demás casos, aquí hay una lista no exhaustiva de clientes ACME:

¿Fue útil?
Volver al Centro de Educación

Tabla de contenidos

Sigue aprendiendo

Reciba el contenido educativo más reciente y conocimientos PKI directamente en su bandeja de entrada.

Al suscribirse acepta recibir nuestras comunicaciones. Puede darse de baja en cualquier momento.

Recursos relacionados

Evertrust

Secuencia 2: Instalar y configurar NGINX para cifrado TLS en RHEL/Debian/OpenSUSE

22 de abril de 2024
1 min

Mejora la seguridad de tu servidor web dominando el cifrado TLS. Nuestra guía detallada ofrece pasos prácticos para configurar NGINX en diferentes distribuciones de Linux, añadiendo una capa de seguridad para proteger los datos sensibles transmitidos por la web.

Leer más
Evertrust Cómo

Habilitar soporte de criptografía postcuántica en navegadores web

17 de abril de 2024
1 min

Explore el futuro de la criptografía post-cuántica y el intercambio seguro de claves en la comunicación web. Aprenda cómo habilitar estas funciones de seguridad avanzadas en los principales navegadores como Microsoft Edge y Firefox. Manténgase a la vanguardia con nuestra guía paso a paso.

Leer más
Evertrust

Secuencia 1: La guía para instalar y configurar Apache Httpd para cifrado TLS en RHEL, Debian, OpenSUSE

16 de abril de 2024
1 min

Explore el proceso óptimo para configurar y asegurar un servidor web en distribuciones Linux como RHEL, Debian y OpenSUSE. Dominando la implementación del cifrado TLS en servidores web Apache Httpd, ofrecemos pasos concisos para una mayor protección de datos.

Leer más

¿Listo para retomar el control de sus certificados?

Habla con nuestros expertos y descubre cómo Evertrust puede ayudarte a implementar las mejores prácticas en PKI y la gestión del ciclo de vida de los certificados.

Habla con un experto