Let's Encrypt: ACME auf dem Weg zum IETF-Standard
Das ACME-Protokoll hat den Umgang mit SSL-Zertifikaten fĂĽr Zertifizierungsstellen und Admins enorm erleichtert. In KĂĽrze geht Version 2 an den Start; erstmals als IETF-Standard.
Aus dem durch die Gratis-CA Let's Encrypt bekannten ACME-Protokoll wird ein IETF-Standard. Eine Arbeitsgruppe entwickelt derzeit eine erweiterte Version des ursprünglichen Protokolls, die besser auf die Bedürfnisse anderer SSL-Zertifizierungsstellen (Certificate Authorities, CAs) eingehen soll. Die Umsetzung ist offenbar weit vorangeschritten: Let's-Encrypt-Chef Josh Aas erklärte, dass seine CA schon im Januar kommenden Jahres das überarbeitete ACME-Protokoll unterstützen soll. Die alte Version möchte er langfristig ausmustern, derzeit lägen aber noch nicht ausreichend Daten vor, um einschätzen zu können, wann der geeignete Zeitpunkt ist.
Zertifikats-Automat
ACME steht in diesem Fall nicht für die fiktive Firma, bei der Wile E. Coyote seine knallroten Raketen kauft, sondern für Automated Certificate Management Environment. Das Protokoll gibt detailliert vor, wie eine CA ohne den Einsatz teurer menschlicher Arbeitszeit Zertifikate signiert und verwaltet. Auch auf Nutzerseite ist wenig Handarbeit gefragt: Wer ein Gratiszertifikat möchte, holt es sich mit einem ACME-Client, der sich um alles kümmert – bis hin zur Konfiguration des Servers. Auch über die Erneuerung der Zertifikate kümmert sich der Client.
Vor dem Signieren von SSL-Zertifikaten stellt die CA dem Client eine Aufgabe, um zu Überprüfen, ob der Anfragende tatsächlich Kontrolle über die Domain hat, die im Zertfikat angegeben wurde. Um die Aufgabe zu lösen, muss der Client über die Domain etwa vorgegebene Daten über einen vorgegebenen Pfad erreichbar machen.
ACME fĂĽr Alle
Die Wurzeln des Protokolls liegen zwar bei Let's Encrypt, es steht aber auch anderen Zertifizierungsstellen zur VerfĂĽgung. Dies gilt inbesondere fĂĽr die neue Version: Die ursprĂĽngliche Ausgabe war auf die BedĂĽrfnisse von Let's Encrypt zugeschnitten, in die Entwicklung des IETF-Standards ist der Input anderer Zertifizierungsstellen eingeflossen. Der Umstieg auf ACME v2 wird auf Nutzerseite eine Aktualisierung des ACME-Clients notwendig machen. (rei)
