GlobalSign 博客

简化域管理并扩大ACME的覆盖范围

随着数字交互支配着我们的日常生活,从在线通信到数据交换,各行各业的组织都面临着网络安全威胁。鉴于这种威胁,SSL/TLS证书的价值从未如此之大。它们是安全在线通信、数据加密和身份验证的基础。

ACME如何彻底改变安全性

ACME(自动证书管理环境)协议允许Web服务器和其他服务以类似于传统手动过程的方式自动证明域所有权并向证书颁发机构(CA)请求证书,从而简化了证书管理过程。

虽然ACME自动执行域验证过程,但此验证通常在每次请求证书时进行。ACME协议的最新增强功能使组织能够管理子域的证书颁发,而无需进行单个域验证。

GlobalSign改进的ACME服务

为了更好地为我们的客户服务,GlobalSign的ACME服务利用该协议的内置功能,只要父域已经过验证,就无需对子域进行域验证。例如,如果您已成功验证域example.com,然后提交shop.example.com证书请求,则无需验证shop.example.com即可处理该请求。 
 
在我们的支持文章中阅读有关我们的ACME实施的更多信息

改善用户体验

提高效率:无论是直接通过Atlas门户添加,还是现在通过ACME质询添加,域验证都将自动应用于相同或从属域的未来证书请求

改进的可扩展性:在某些情况下,由于客户特定的网络安全规则,CA无法创建到HTTP验证所需的服务器的传入连接,并且自动DNS验证可能无法使用。 在这种情况下,Atlas管理员可以通过DNS或电子邮件验证顶级域(禁止使用HTTP方法验证的域用于颁发通配符或子域SAN),这将使ACME能够在更多地点

其他增强功能

除了扩展域名验证重用外,GlobalSign最近还对其ACME服务进行了另外两项增强,以更好地为其客户提供服务:

ACME随机数

ACME随机数是一种加密值,用于防止重放攻击(攻击者尝试重用以前发送的消息)。以前,GlobalSign的ACME服务器在内部存储随机数值,这意味着随机数值不能在多个服务器之间共享。因此,我们的ACME服务器可能会因请求而过载,并且无法平衡其他服务器的负载,这可能会引入响应延迟和故障。GlobalSign改进了其后端,因此随机数值现在存储在键值服务器中,多个ACME服务器可以共享单个随机数值存储。这使我们能够扩展服务以平衡负载并处理比以往更多的请求。

ACME密钥更改

如果客户的ACME公钥已泄露,或者怀疑密钥可能已泄露,则唯一的选择是停用该帐户,创建一个新帐户,然后重新建立与ACME服务器的身份验证连接。随着ACME密钥更改功能的实施,客户现在可以轻松修改链接到其帐户的公钥。此功能已根据RFC 8555和Google的Chrome根计划政策实施。

随时了解GlobalSign的ACME服务和新发展,并详细了解我们如何帮助您优先考虑整个组织的网络安全

近期博客