Universalsiegelstandard
ACME-2.0-Protokoll für automatische SSL/TLS-Zertifikate
Let’s Encrypt stellt vollautomatisch kostenlose SSL/TLS-Zertifikate aus und vereinfacht so die Verschlüsselung des Datenverkehrs im Internet. Das zugrunde liegende Protokoll ist als ACME 2.0 auf dem Weg zum Internet-Standard, sodass es in Zukunft auch andere Zertifikatsstellen nutzen können.
Let’s Encrypt verdankt seinen Erfolg unter anderem ACME, dem „Automatic Certificate Management Environment“. Dieses Protokoll automatisiert das Bestellen von kostenlosen TLS-Zertifikaten bei der Certificate Authority (CA) und organisiert auch die Prüfung, dass der Besteller wirklich die volle Kontrolle über die im Zertifikat angegebenen Domains hat. ACME 1.0 war ganz auf die Bedürfnisse von Let’s Encrypt zugeschnitten. Ein einheitlicher Standard, um automatisiert Zertifikate zu ordern und zu widerrufen, ist aber nicht nur für Let’s Encrypt, sondern für jede CA praktisch. ACME hat sich daher in den letzten Jahren als Standardentwurf der Internet Engineering Task Force (IETF) weiter entwickelt. Aktuell ist die Entwurfsversion 9, die als ACME 2.0 Chancen hat, zum finalen Standard erhoben zu werden.
Let’s Encrypt will auf seinen Zertifikatsserver „Boulder“ ab dem 27. Februar ACME 2.0 unterstützen und ab diesem Zeitpunkt auch Zertifikate erlauben, die Wildcards wie *.example.com enthalten. Damit können Admins ein einzelnes Zertifikat für alle Subdomains einer Domain verwenden, ohne jede Subdomain einzeln im „Subject Alternative Name“-Feld anzugeben. Solche Universalzertifikate können TLS-Setups deutlich vereinfachen, besonders wenn man auf Public-Key-Pinning setzt und deswegen nicht in schneller Folge Zertifikate austauschen möchte.