O AWS Certificate Manager é um Potential Game Changer?

O ACM agora permite que você implante um certificado SSL emitido pela Amazon para o Elastic Load Balancer ou a distribuição CloudFront

A Amazon Web Services anunciou o AWS Certificate Manager (ACM, e mantendo sua tradição de flip flop de prefixar coisas com AWS ou Amazon), e houve muita alegria.

O ACM agora permite que você implante um certificado SSL emitido pela Amazon para seu Elastic Load Balancer ou sua distribuição CloudFront, e o pouco que todos estão excitados é que o AWS não está cobrando os certificados SSL!

Então … como eles não cobram por certificados? Empresas como a Symantec cobram uma pequena fortuna para os certificados SSL. Simples. A Amazon criou sua própria autoridade de certificação chamada Amazon Trust Services LLC ( https://www.amazontrust.com ).

Isso é realmente uma grande coisa, já que agora permite que a Amazon emita certificados sem custos de terceiros, o que reduz dramaticamente seu custo total para emitir um certificado. Quando você muda a economia por trás de uma ação, você altera o comportamento que a ação gera.

Para simplificar, agora que é grátis obter um certificado SSL da Amazon (e LetsEncrypt), ninguém deveria estar executando um site sem SSL. Se você é um cliente da AWS, não só o certificado é livre, configurar o SSL agora é um evento trivial graças ao ACM. Portanto, a ação imediata que isso deve conduzir é uma internet mais segura, bem, pelo menos, uma internet mais criptografada. Reduzir o custo ea facilidade de implantação de um certificado gerarão maior ubiquidade de certificados SSL.

SSL TODAS AS COISAS !!

Há mais do que os certificados SSL gratuitos e fáceis para o seu site. Se você cavar um pouco mais fundo na Amazon Trust Services LLC, logo você terá a imagem de que o ACM para o ELB e Cloudfront é apenas o começo.

O Amazon Trust Services opera cinco autoridades de certificação raiz.

  • Amazon Root CA 1 – SHA-256 com chave de 2048 bits
  • Amazon Root CA 2 – SHA-384 com chave de 4096 bits
  • Amazon Root CA 3 – ECC P-256 (curva elíptica … também conhecida como NIST P-256)
  • Amazon Root CA 4 – ECC P-384 (curva elíptica … também conhecida como NIST P-384)
  • Starfield Services Root Certificate Authority-G2 – SHA-256 com chave de 2048 bits

Hoje, o ACM apenas emite chaves RSA de 2048 bits da Amazon Root CA 1. O Amazon Root CA 1 é reconhecido pelos navegadores como uma CA confiável, já que é assinado de forma cruzada pela Autoridade de Certificado Raiz dos Serviços Starfield-G2, que por sua vez é assinada de forma cruzada pelo Autoridade de certificação Starfield Class 2.

Essencialmente, a raiz da Amazônia CA 1 é o segredo da Autoridade de Certificação Raiz dos Serviços da Starfield – G2, que por sua vez é o segredo da Autoridade de Certificação da Classe 2 da Starfield. A Autoridade de Certificado de Raiz de Serviços Starfield – G2, de fato, faz sinal cruzado para as outras 4 CAs possuídas pela Amazon.

Starfield é uma subsidiária da GoDaddy, e uma entidade separada para a Amazon completamente. O que é interessante é na lista de certificados incluídos da Mozilla em sua loja de certificados é que a Amazon está listada como o proprietário da Autoridade de certificados raiz da Starfield Services-G2.

Ao olhar para o aplicativo Mozilla Certificate Store , fica claro que a Amazon comprou, de fato, a Autoridade de Certificado Raiz dos Serviços Starfield-G2 em junho de 2015.

Isso faz sentido, pois é um processo bastante elaborado para obter uma CA raiz adicionada a todas as lojas de certificados confiáveis ​​usadas por vários navegadores e plataformas. Ao comprar uma CA que já está em todas as lojas da plataforma, ela dá a ubiqüidade da Amazon em plataformas imediatamente, e tempo para obter suas outras CA aprovadas.

Além da Autoridade de Certificado de Raiz de Serviços Starfield-G2, a Amazon solicitou que outras quatro CAs estivessem na lista aprovada com o Mozilla. Um processo que começou em junho de 2015 e ainda está em andamento. O processo de aplicação fornece um pouco de percepção sobre o que a Amazon solicitou , e nos ajudou a saltar para conclusões selvagens.

Então, por que a entrada da loja de certificados CA da Mozilla é tão importante? O Mozilla CA Certificate Store é usado pelo Mozilla Network Security Services (NSS) e é o maior Programa de Certificado de Raiz no Linux, e é usado por produtos como o Google Chrome (EDIT: Somente no Linux, em outras plataformas, o Chrome usa a plataforma) , e foi a primeira biblioteca criptográfica de código aberto a cumprir a conformidade FIPS-140. Obter todas as CAs de raiz da Amazon na loja da CA da Mozilla abre uma série de outras aplicações para confiar em um certificado emitido pela Amazon.

Então, vamos saltar para algumas conclusões selvagens sobre onde a Amazon vai levar a ACM e o fato de que eles terão 5 Root CA's na Loja de certificados CA da Mozilla?

  • Gateway da API – Já suporta certificados auto-assinados, adicionar certificados assinados da Amazon não seria um estiramento.
  • IoT – Uma das maiores preocupações hoje em torno do IoT é a segurança. A Amazon agora pode garantir que toda a comunicação entre dois dispositivos seja criptografada e / ou assinada por uma CA raiz confiável. Emitir um cert de uma CA raiz para cada dispositivo? Por que não?
  • WorkMail – WorkMail precisa de uma vantagem e pode oferecer uma melhor segurança na caixa do que concorrentes com e-mails assinados publicamente como padrão.
  • WorkDocs – documentos assinados publicamente como padrão? Uma maneira de compartilhar com segurança os documentos de maneira confiável!
  • Gerenciamento de certificados de terceiros – Atualmente, o gerenciamento de certificados na AWS emitidos por outras organizações não é o mais fácil. Ser capaz de adicionar certificados de terceiros à ACM irá facilitar o processo, mas também facilitar a substituição dos certificados existentes por certificados AWS quando expirarem.

Em última análise, a Amazon pode garantir que a comunicação entre duas partes não confiáveis ​​possa ser criptografada e assinada pela Amazon como a parte de confiança no meio. Isso se torna realmente poderoso quando eles começam a assar essa capacidade em todos os seus serviços nativamente com uma interface fácil de usar e uma série de SDKs, ao mesmo tempo em que não adiciona nenhum custo para emitir um certificado.

A maior desvantagem que eu vejo com a Amazon executando sua própria CA, e com a ACM, é que parece que a Amazon só permitirá que você emita certificados através da ACM, que é acoplada à plataforma AWS. Portanto, você não poderá usar esses certificados em um CDN concorrente, por exemplo. Não é um bloqueio completo, mas significaria manter um conjunto separado de certificados não-AWS para serviços que não sejam AWS.

No curto prazo, até as quatro Autoridades da Raiz da Amazônia estiverem na Loja de certificados CA da Mozilla, não espere que isso vá além da ACM para o ELB e Cloudfront. Uma vez que as quatro CAs da Amazon Root estão na lista confiável, espere o ACM em tudo.

Oh … e boa sorte para a Symantec e seus negócios de certificados.

Ant Stanley

Atualização: a Microsoft adicionou as CA raiz da AWS à sua loja CA confiável a partir de 21 de janeiro. Mais detalhes aqui e aqui .

Um Guru da Nuvem

A missão de A Cloud Guru é envolver os indivíduos em uma jornada para elevar suas habilidades de computação em nuvem, fornecendo o conteúdo educacional líder do mundo, projetado para evoluir mentalidades e carreiras.

"Não deixe nenhum homem no mundo viver em ilusão. Sem um Guru, nenhum pode atravessar a outra margem. "- Guru Nanak

Nossos cursos são entregues por especialistas da indústria com uma paixão compartilhada pela computação em nuvem. Nós nos esforçamos para atender a nossa crescente comunidade de gurus da nuvem, que contribuem generosamente em seus fóruns , workshops, encontros e conferências .

Continue com a equipe do A Cloud Guru @acloudguru .

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *