Características de los certificados de ACM

Los certificados públicos proporcionados por ACM tienen las características que se describen en esta página.

nota

Estas características se aplican solo a los certificados proporcionados por ACM. Puede que no se apliquen a los certificados que importe a ACM.

Entidad de certificación y jerarquía

Los certificados públicos que se solicitan a través de ACM se obtienen de Amazon Trust Services, una entidad de certificación (CA) pública administrada por Amazon. Las CA raíz de Amazon de la 1 a la 4 están firmadas de forma cruzada por una raíz más antigua denominada Starfield G2 Root Certificate Authority - G2. La raíz Starfield es de confianza en dispositivos Android a partir de las versiones posteriores a Gingerbread, y en iOS a partir de la versión 4.1. Las raíces de Amazon son de confianza en iOS a partir de la versión 11. Cualquier navegador, aplicación o sistema operativo que incluya las raíces de Amazon o Starfield confiará en los certificados públicos obtenidos de ACM.

Los certificados de hoja o entidad final que ACM emite a los clientes obtienen su autoridad de una CA raíz de Amazon Trust Services a través de alguna de las distintas CA intermedias. ACM asigna aleatoriamente una CA intermedia en función del tipo de certificado (RSA o ECDSA) solicitado. Puesto que la CA intermedia se selecciona aleatoriamente después de generar la solicitud, ACM no proporciona información sobre la CA intermedia.

Confianza de navegadores y aplicaciones

Los certificados de ACM son de confianza para la mayoría de los principales navegadores, como Google Chrome, Microsoft Internet Explorer y Microsoft Edge, Mozilla Firefox y Apple Safari. Los navegadores que confían en los certificados de ACM muestran un icono de candado en la barra de estado o la barra de direcciones cuando se conectan por SSL/TLS a sitios que utilizan certificados de ACM. Los certificados de ACM también son de confianza para Java.

Rotación de CA intermedias y raíces

Con el fin de mantener una infraestructura de certificados resiliente y ágil, Amazon puede decidir en cualquier momento dejar de utilizar una CA intermedia sin previo aviso. Este tipo de cambios no afectan a los clientes. Para obtener más información, consulte la entrada de blog “Amazon introduces dynamic intermediate certificate authorities” (Amazon presenta las entidades de certificación intermedias dinámicas).

En el improbable caso de que Amazon deje de utilizar una CA raíz, el cambio se producirá tan pronto como lo requieran las circunstancias. Debido al gran impacto de este cambio, Amazon utilizará todos los mecanismos disponibles para notificar a los AWS clientes, incluido el AWS Health Dashboard correo electrónico a los propietarios de las cuentas y la comunicación con los administradores técnicos de cuentas.

Acceso a firewalls para revocación

Si un certificado de entidad final deja de ser de confianza, se revocará. El protocolo OCSP y las listas CRL son los mecanismos estándar que se utilizan para comprobar si un certificado se ha revocado o no. El protocolo OCSP y las listas CRL son los mecanismos estándar que se utilizan para publicar información sobre revocación. Es posible que los firewalls de algunos clientes necesiten reglas adicionales para permitir el funcionamiento de estos mecanismos.

Los siguientes ejemplos de patrones de caracteres comodín de URL se pueden utilizar para identificar tráfico de revocación. Un asterisco (*) representa uno o varios caracteres alfanuméricos, un signo de interrogación de cierre (?) representa un único carácter alfanumérico, y una almohadilla (#) representa un número.

• OCSP

  http://ocsp.?????.amazontrust.com

  http://ocsp.*.amazontrust.com

• CRL

  http://crl.?????.amazontrust.com/?????.crl

  http://crl.*.amazontrust.com/*.crl

Validación de dominio (DV)

Los certificados de ACM son validados por dominio. Es decir, el campo de asunto de un certificado de ACM identifica solo a un nombre de dominio. Cuando solicita un certificado de ACM, debe validar que usted es el propietario de todos los dominios que ha especificado en su solicitud, o bien que es quien los controla. Puede validar la titularidad a través del correo electrónico o DNS. Para más información, consulte Validación por correo electrónico y Validación por DNS.

Periodo de validez

El periodo de validez de los certificados de ACM es de 13 meses (395 días).

Renovación e implementación administradas

ACM administra el proceso de renovación de los certificados de ACM y el aprovisionamiento de estos una vez renovados. La renovación automática puede ayudarle a evitar el tiempo de inactividad debido a certificados configurados incorrectamente, revocados o caducados. Para obtener más información, consulte Renovación administrada para certificados de ACM.

Varios nombres de dominio

Cada certificado de ACM debe incluir al menos un nombre de dominio completo (FQDN), pero puede agregar nombres adicionales si lo desea. Por ejemplo, cuando crea un certificado de ACM para www.example.com, puede agregar el nombre www.example.net si los clientes pueden acceder a su sitio utilizando cualquiera de los nombres. Lo mismo sucede con los dominios vacíos (también conocidos como ápex de zona o dominios desnudos). Es decir, puede solicitar un certificado de ACM para www.example.com y agregar el nombre example.com. Para obtener más información, consulte Solicitar un certificado público.

Nombres con comodines

ACM permite utilizar un asterisco (*) en el nombre de dominio para crear un certificado de ACM que contenga un nombre comodín que pueda proteger varios sitios en el mismo dominio. Por ejemplo, *.example.com protege www.example.com e images.example.com.

nota

Cuando solicita un certificado de comodín, el asterisco (*) debe encontrarse en la posición más a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Por ejemplo, *.example.com puede proteger login.example.com y test.example.com, pero no puede proteger test.login.example.com. Tenga en cuenta también que *.example.com solo protege los subdominios de example.com. No protege el dominio desnudo o ápex (example.com). Sin embargo, puede solicitar un certificado que proteja una dominio desnudo o ápex y sus subdominios especificando varios nombres de dominio en su solicitud. Por ejemplo, puede solicitar un certificado que proteja example.com y *.example.com.

Algormos clave

Un certificado debe especificar un algoritmo y un tamaño de clave. Actualmente, ACM admite los siguientes algoritmos de clave pública (ECDSA) y el algoritmo de firma digital de curva elíptica (ECDSA). ACM puede solicitar la emisión de nuevos certificados a través de algoritmos marcados con un asterisco (*). Los algoritmos restantes solo son compatibles con los certificados importados.

nota

Al solicitar un certificado de PKI privado firmado por una CA AWS Private CA, la familia de algoritmos de firma especificada (RSA o ECDSA) debe coincidir con la familia de algoritmos de la clave secreta de la CA.

• RSA de 1024 bits (RSA_1024)

• RSA de 2048 bits (RSA_2048)*

• RSA de 3072 bits (RSA_3072)

• RSA de 4096 bits (RSA_4096)

• ECDSA de 256 bits (EC_prime256v1)*

• ECDSA de 384 bits (EC_secp384r1)*

• ECDSA de 521 bits (EC_secp521r1)

Las claves ECDSA son más pequeñas y ofrecen una seguridad comparable a la de las claves RSA, pero con una mayor eficiencia de computación. Sin embargo, ECDSA no es compatible con todos los clientes de red. La siguiente tabla, adaptada del NIST, muestra el nivel de seguridad representativo de RSA y ECDSA con claves de varios tamaños. Todos los valores se muestran en bits.

Comparación de la seguridad de algoritmos y claves
Nivel de seguridad	Tamaño de clave RSA	Tamaño de clave ECDSA
128	3072	256
192	7680	384
256	15360	512

El nivel de seguridad, entendido como una potencia de 2, está relacionado con la cantidad de intentos necesarios para romper el cifrado. Por ejemplo, se pueden recuperar tanto una clave RSA de 3072 bits como una clave ECDSA de 256 bits sin más de 2¹²⁸ intentos.

Para obtener información que le ayude a elegir un algoritmo, consulte la entrada del AWS blog Cómo evaluar y utilizar los certificados ECDSA en. AWS Certificate Manager

importante

Tenga en cuenta que los servicios integrados solo permiten asociar a sus recursos los algoritmos y tamaños de clave que admiten. Además, la compatibilidad varía en función de si el certificado se importa a IAM o ACM. Para obtener más información, consulte la documentación de cada servicio.

• Para Elastic Load Balancing, consulte Agentes de escucha de HTTPS para su Application Load Balancer.

• Para ello CloudFront, consulte Protocolos y cifrados SSL/TLS compatibles.

Punycode

Se deben cumplir los siguientes requisitos de Punycode relativos a los Nombres de dominio internacionalizados:

1. Los nombres de dominio que empiecen con el patrón “<character><character>--” deben coincidir con “xn--”.

2. Los nombres de dominio que empiecen con “xn--” también deben ser nombres de dominio internacionalizados válidos.

Ejemplos de Punycode
Nombre del dominio	Cumple el n.° 1	Cumple el n.° 2	Permitida	Nota
example.com	n/a	n/a	✓	No empieza con “<character><character>--”
a--ejemplo.com	n/a	n/a	✓	No empieza con “<character><character>--”
abc--ejemplo.com	n/a	n/a	✓	No empieza con “<character><character>--”
xn--xyz.com	Sí	Sí	✓	Nombre de dominio internacionalizado válido (se resuelve en 简.com)
xn--ejemplo.com	Sí	No	✗	No es un nombre de dominio internacionalizado válido
ab--ejemplo.com	No	No	✗	Debe empezar con “xn--”

Excepciones

Tenga en cuenta lo siguiente:

• ACM no proporciona certificados de validación extendida (EV) ni certificados de validación de organización (OV).

• ACM no proporciona certificados para nada más que los protocolos SSL/TLS.

• No puede utilizar certificados de ACM para el cifrado de correo electrónico.

• ACM no permite desactivar la renovación de certificados administrada de los certificados de ACM. Además, la renovación administrada no está disponible para los certificados que se importan a ACM.

• No se pueden solicitar certificados para nombres de dominio propiedad de Amazon, por ejemplo los que terminan en amazonaws.com, cloudfront.net o elasticbeanstalk.com.

• No se puede descargar la clave privada de un certificado de ACM.

• No puede instalar de manera directa certificados de ACM en su sitio web o aplicación de Amazon Elastic Compute Cloud (Amazon EC2). No obstante, sí puede utilizar su certificado con cualquier servicio integrado. Para obtener más información, consulte Servicios integrados con AWS Certificate Manager.