Muy bien, ¿qué es exactamente el protocolo ACME? Bueno, lo primero es lo primero… ACME es un acrónimo que significa Entorno Automatizado de Gestión de Certificados y, cuando se simplifica al extremo, es un protocolo diseñado para automatizar la interacción entre las autoridades certificadoras (CA) y los servidores web de los usuarios. Básicamente, permite la implementación automatizada de infraestructura de clave pública (PKI) a escala. No es exactamente el tema más interesante que hemos cubierto, pero ciertamente es fundamental para comprender la autenticación segura basada en certificados en Azure.
La principal motivación detrás de aprovechar ACME es simplificar el proceso de obtención, renovación y gestión de certificados SSL/TLS. Estos certificados son certificados criptográficos que los servidores web utilizan para proteger las comunicaciones a través de HTTPS. Antes de ACME, la obtención y gestión de estos certificados requería pasos manuales que podían ser un dolor de cabeza, especialmente para implementaciones a gran escala o en casos donde hay certificados que caducan con frecuencia. En pocas palabras, ACME ha ahorrado a las comunidades de Ingeniería y Desarrollo de Seguridad innumerables tiempo y dolores de cabeza desde su inicio. Profundicemos.
Estandarizado por el IETF: ACME fue estandarizado por el Internet Engineering Task Force (IETF) como RFC 8555.
Let’s Encrypt: El usuario más famoso del protocolo ACME es Let’s Encrypt, la CA gratuita y de código abierto que proporciona certificados SSL/TLS. Let’s Encrypt jugó un papel vital en el desarrollo y popularización de ACME.
Mecanismo de desafío-respuesta: El protocolo utiliza un mecanismo de desafío-respuesta para verificar la propiedad del dominio. Esto significa que cuando un servidor solicita un certificado para un dominio, la CA emite un desafío (por ejemplo, solicitando al servidor que coloque un archivo específico en una ubicación específica del dominio). Si el servidor cumple el desafío, le demuestra a la CA que tiene control sobre el dominio y la CA emitirá el certificado.
Automatización: Con el software de cliente adecuado, el proceso de obtención y renovación de certificados se puede automatizar completamente, lo cual es especialmente útil dado que los certificados de Let’s Encrypt, por ejemplo, caducan cada 90 días. Si aún no lo sabe, Google ahora requiere una rotación de certificados de 90 días. También debería ser evidente que eliminar el elemento/variable humano de la ecuación garantiza en última instancia que el proceso sea más seguro.
Adopción casi universal: Con el éxito de Let’s Encrypt, muchos proveedores de alojamiento web y herramientas de administración de servidores han incorporado soporte para ACME, lo que facilita a los propietarios de sitios web proteger sus sitios con certificados SSL/TLS.
ACME ha tenido un gran impacto en Internet al reducir las barreras para proteger el tráfico web, permitiendo que incluso los sitios web pequeños utilicen HTTPS con facilidad. A medida que seguimos viendo que crece la demanda de comunicaciones cifradas y sitios web seguros, ACME ha encontrado varios casos de uso típicos:
Autoridades de certificación internas: Las organizaciones que ejecutan sus propias autoridades de certificación (CA) internas para la seguridad dentro de la organización pueden adoptar el protocolo ACME para agilizar y automatizar su proceso de emisión de certificados internos. Obtenga más información sobre cómo puede iniciar su propia autoridad de certificación privada con EZCA de Keytos.
Administración de certificados de servidor web: Este es el caso de uso más común. Los servidores web, como Apache, Nginx o Caddy, utilizan clientes ACME para solicitar, renovar e instalar certificados automáticamente.
Implementaciones a gran escala: Para las organizaciones que ejecutan varios sitios web o servicios, administrar manualmente los certificados SSL/TLS es una pesadilla logística (en el mejor de los casos). La automatización de este proceso hace que la vida sea mucho menos dolorosa para implementaciones a gran escala o incluso de tamaño modesto.
Dispositivos IoT: A medida que se expande el Internet de las Cosas (IoT), surge la necesidad de Las comunicaciones seguras entre dispositivos se vuelven primordiales.
Servidores de correo: Servidores como Postfix o Dovecot utilizan ACME para automatizar el proceso de obtención de certificados SSL/TLS, garantizando comunicaciones de correo electrónico cifradas y seguras.
Servidores VPN: Los servidores de red privada virtual (VPN) como OpenVPN utilizan ACME para automatizar la adquisición y renovación de certificados SSL/TLS.
CDN y balanceadores de carga: Las redes de entrega de contenido (CDN) y los equilibradores de carga a menudo administran el tráfico de una gran cantidad de sitios web. Con ACME, automatizan el proceso de gestión de certificados para todos los dominios a los que prestan servicios.
Entornos de desarrollo y de prueba: Los desarrolladores a menudo necesitan certificados SSL/TLS para fines de prueba y desarrollo. ACME, especialmente con el entorno de prueba de Let’s Encrypt, proporciona una forma de obtener estos certificados de prueba de forma fácil y automática.
Entornos en contenedores: En las infraestructuras en contenedores, como Kubernetes, los servicios suelen ser efímeros. ACME proporciona una forma de proteger estos servicios de forma automática y dinámica a medida que se activan y desactivan.
Aplicaciones cliente-servidor: Más allá de los servidores web, cualquier aplicación que requiera un modelo cliente-servidor con comunicación cifrada puede aprovechar ACME para garantizar que tanto el cliente como el servidor tengan certificados válidos.
Si somos sinceros, cualquier escenario donde sea necesaria una comunicación segura y donde la administración manual de certificados sea engorrosa o ineficiente puede beneficiarse del uso del protocolo ACME.
ACME, por diseño, es seguro y cuenta con mecanismos para garantizar la autenticidad de las solicitudes de certificados SSL/TLS. Sin embargo, su seguridad en escenarios del mundo real depende en gran medida de su implementación, configuración y infraestructura adecuadas, especialmente la configuración de DNS. Como ocurre con todos los protocolos de seguridad, es fundamental mantenerse actualizado sobre las mejores prácticas y las posibles vulnerabilidades. Monitorear y actualizar periódicamente las configuraciones y utilizar clientes ACME confiables puede ayudar a mantener un entorno seguro.
Uno de los conceptos erróneos más comunes sobre ACME es que no es seguro porque emplea validación de DNS y Let’s Encrypt. Esto es inexacto por una variedad de razones, detalladas con más detalle por el CEO de Keytos Igal Flegmann:
“He tenido empresas que dicen ‘Oh, no, solo usamos certificados EV porque queremos que verifiquen nuestra empresa y se aseguren de que somos legítimos; sin embargo, si no estás bloqueando a las personas para que no usen ACME y Let’s Encrypt , todavía eres excepcionalmente vulnerable. Es posible que estés usando tus certificados EV… pero si un atacante encuentra un DNS pendiente, que es un problema enorme en el mundo ahora (en realidad encontramos alrededor de 15,000 DNS pendientes cada mes), aún pueden ir y crear un certificado. No hay nada que los detenga a menos que tengas un registro CAA! Los registros CAA son la única forma de bloquear la creación de certificados no autorizados, y es una buena práctica tener ese registro CAA en el que solo se emiten certificados del CA en las que confía y con las que suele trabajar.”
Si ha llegado hasta aquí, habrá visto los beneficios de utilizar ACME, así que claramente voy a decir que sí. La introducción de ACME marcó un importante paso adelante en el camino hacia una web universalmente segura. Al hacer que la adquisición y gestión de certificados SSL/TLS sea eficiente y fácil de usar, ACME garantiza que los webmasters puedan priorizar la seguridad sin atascarse en tecnicismos. ¡Empiece a utilizar ACME hoy y empiece a darse cuenta de lo que se ha estado perdiendo!
