Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concetti
In questa sezione vengono fornite le definizioni dei concetti utilizzati da AWS Certificate Manager.
Argomenti
- Certificato ACM
- ACM Root CA
- Dominio Apex
- Crittografia delle chiavi asimmetrica
- Certificate Authority (Autorità di certificazione)
- Registrazione della trasparenza del certificato
- Domain Name System
- Nomi di dominio
- Crittografia e decrittografia
- Nome di dominio completo (FQDN)
- Infrastruttura a chiave pubblica
- Certificato root
- Secure Sockets Layer (SSL)
- HTTPS sicuro
- Certificati del server SSL
- Crittografia delle chiavi simmetrica
- Transport Layer Security (TLS)
- Trust
Certificato ACM
ACM genera certificati X.509 versione 3, ognuno valido per 13 mesi (395 giorni) e contenente le estensioni indicate di seguito.
-
Vincoli di base: consente di specificare se l'oggetto del certificato è un'autorità di certificazione (CA).
-
Identificatore chiave autorità: consente di identificare la chiave pubblica corrispondente alla chiave privata utilizzata per firmare il certificato.
-
Identificatore chiave oggetto: consente di identificare certificati che contengono una determinata chiave pubblica.
-
Utilizzo chiave: definisce lo scopo della chiave pubblica incorporata nel certificato.
-
Utilizzo chiave esteso: specifica una o più finalità per le quali la chiave pubblica può essere utilizzata in aggiunta alle finalità specificate dall'estensione Utilizzo chiave.
-
Punti di distribuzione CRL: specifica dove possono essere ottenute le informazioni CRL.
Il testo in chiaro di un certificato rilasciato da ACM è simile al seguente esempio:
Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5
ACM Root CA
I certificati di entità pubblica emessi da ACM derivano la loro fiducia dalle seguenti CA principali di Amazon:
|
Nome distinto |
Algoritmo di crittografia |
|---|---|
|
CN=Amazon Root CA 1,O=Amazon,C=US |
RSA a 2048 bit (RSA_2048) |
|
CN=Amazon Root CA 2,O=Amazon,C=US |
RSA a 4096 bit (RSA_4096) |
|
CN=Amazon Root CA 3,O=Amazon,C=US |
Elliptic Prime Curve a 256 bit (EC_prime256v1) |
|
CN=Amazon Root CA 4,O=Amazon,C=US |
Elliptic Prime Curve a 384 bit (EC_secp384r1) |
La radice predefinita della fiducia per i certificati rilasciati da ACM è CN=Amazon Root CA 1, O = Amazon, C = US, che offre sicurezza RSA a 2048 bit. Le altre radici sono riservate all'uso futuro. Tutte le radici sono sottoscritte dal certificato Starfield Services Root Certificate Authority.
Per ulteriori informazioni, consulta Amazon Trust Services
Dominio Apex
Per informazioni, consulta Nomi di dominio.
Crittografia delle chiavi asimmetrica
A differenza della Crittografia delle chiavi simmetrica, la crittografia asimmetrica utilizza chiavi differenti ma matematicamente correlate per criptare e decriptare i contenuti. Una delle chiavi è pubblica e in genere è disponibile in un certificato X.509 v3. L'altra chiave è privata e archiviata in modo sicuro. Il certificato X.509 associa l'identità di un utente, un computer o altre risorse (l'oggetto del certificato) alla chiave pubblica.
ACM genera certificati X.509 di tipo SSL/TLS che collegano l'identità del sito Web e i dettagli dell'organizzazione alla chiave pubblica inclusa nel certificato. ACM utilizza il tuo AWS KMS key per crittografare la chiave privata. Per ulteriori informazioni, consulta Sicurezza per le chiavi private dei certificati.
Certificate Authority (Autorità di certificazione)
Un'autorità di certificazione (CA) è un'entità che emette i certificati digitali. Il tipo più comune di certificato digitale disponibile in commercio si basa sullo standard ISO X.509. L'autorità di certificazione emette certificati firmati che confermano l'identità dell'oggetto del certificato stesso e la associano alla chiave pubblica contenuta nel certificato. Un'autorità di certificazione in genere gestisce anche la revoca dei certificati.
Registrazione della trasparenza del certificato
Come protezione contro i certificati SSL/TLS emessi per errore o da autorità di certificazione compromesse, alcuni browser richiedono che i certificati pubblici emessi per uno specifico dominio vengano aggiunti a un registro di trasparenza dei certificati, in cui viene registrato il nome del dominio, ma non la chiave privata. I certificati non registrati in genere generano un errore all'interno del browser.
È possibile monitorare i registri per fare in modo che per il proprio dominio siano stati emessi solo i certificati autorizzati. Per controllare i registri è possibile utilizzare un servizio apposito, ad esempio Certificate Search
Prima di emettere un certificato SSL/TLS pubblicamente attendibile per un dominio, Amazon CA invia il certificato ad almeno due server di registrazione della trasparenza. I server aggiungono il certificato al proprio database pubblico e restituiscono alla CA Amazon un timestamp firmato del certificato (SCT). La CA incorpora quindi l'SCT nel certificato, lo firma e lo emette all'utente. I timestamp sono inclusi con altre estensioni X.509.
X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID :BB:D9:DF:...8E:1E:D1:85Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...18:CB:79:2FSigned Certificate Timestamp: Version : v1(0) Log ID :87:75:BF:...A0:83:0FTimestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...29:8F:6C
La registrazione della trasparenza del certificato è automatica al momento della richiesta o del rinnovo di un certificato, a meno che non si decida di disattivarla. Per ulteriori informazioni sulla disattivazione, consultare Annullamento della registrazione della trasparenza del certificato..
Domain Name System
Il DNS (Domain Name System) è un sistema di denominazione di distribuzione gerarchica per computer e altre risorse connesse a Internet o a una rete privata. Il DNS viene utilizzato principalmente per convertire nomi di dominio in formato testo, ad esempio aws.amazon.com, in indirizzi IP numerici nel formato 111.122.133.144. Il database DNS per uno specifico dominio, tuttavia, contiene una serie di record che possono essere utilizzati per altri scopi. Ad esempio, con ACM è possibile utilizzare un registro CNAME per confermare che si gestisce o controlla un dominio quando si richiede un certificato. Per ulteriori informazioni, consulta Convalida DNS.
Nomi di dominio
Un nome di dominio è una stringa di testo come www.example.com che il DNS (Domain Name System) può convertire in un indirizzo IP. Le reti di computer, inclusa Internet, utilizzano gli indirizzi IP anziché i nomi di testo. Un nome di dominio è composto da etichette distinte separate da punti:
TLD
L'etichetta più a destra viene denominata dominio di primo livello (TLD). Esempi comuni comprendono .com, .net e .edu. Inoltre, il TLD per le entità registrate in alcuni paesi è l'abbreviazione del nome del paese e viene denominato codice paese. Esempi includono .uk per il Regno Unito, .ru per la Russia e .fr per la Francia. Quando si utilizzano i codici paese, viene spesso introdotta per il TLD una gerarchia di secondo livello per identificare il tipo di entità registrata. Ad esempio, il TLD .co.uk identifica le imprese commerciali del Regno Unito.
Dominio apex
Il nome di dominio apex include e si espande nel dominio di primo livello. Per i nomi di dominio che includono un codice paese, il dominio apex include il codice e le etichette, se presenti, che identificano il tipo di entità registrata. Il dominio apex non include sottodomini (vedere il paragrafo seguente). In www.example.com, il nome del dominio apex è example.com. In www.example.co.uk, il nome del dominio apex è example.co.uk. Altri nomi che sono spesso utilizzati al posto di apex includono base, bare, root, root apex o apex di zona.
Sottodominio
I nomi di sottodominio precedono il nome di dominio apex e sono separati da esso e tra di loro da un punto. Il nome di sottodominio più comune è www, ma è possibile usare qualsiasi nome. I nomi di sottodominio possono avere più livelli. Ad esempio, in jake.dog.animals.example.com, i sottodomini sono jake, dog e animals in questo ordine.
Superdominio
Il dominio a cui appartiene un sottodominio.
FQDN
Un nome di dominio completo (FQDN) è il nome DNS completo di un computer, sito Web o altre risorse connessi a una rete o a Internet. Ad esempio aws.amazon.com è il nome di dominio completo (FQDN) per Amazon Web Services. Un FQDN include tutti i domini fino al dominio di primo livello. Ad esempio, [subdomain1].[subdomain2]...[subdomainn].[apex
domain].[top–level domain] rappresenta il formato generale di un nome di dominio completo (FQDN).
PQDN
Un nome di dominio non completo si definisce nome di dominio parzialmente qualificato (PQDN) ed è ambiguo. Un nome come [subdomain1.subdomain2.] è un nome di dominio parzialmente qualificato (PQDN) poiché non è possibile determinare il dominio root.
Registration (Registrazione)
Il diritto di utilizzare un nome di dominio è delegato ai registrar dei nomi di dominio. I registrar sono in genere accreditati dalla ICANN (Internet Corporation for Assigned Names and Numbers). Inoltre, altre organizzazioni denominate registri gestiscono i database TLD. Quando si richiede un nome di dominio, il registrar invia le informazioni al registro TLD appropriato. Il registro assegna un nome di dominio, aggiorna il database TLD e pubblica le informazioni su WHOIS. Di solito, i nomi di dominio devono essere acquistati.
Crittografia e decrittografia
La crittografia è il processo che garantisce la riservatezza dei dati. La decrittografia è il processo inverso e consente di recuperare i dati originali. I dati non criptati in genere vengono definiti "testo normale", anche se non sono testi veri e propri. I dati crittografati in genere vengono definiti "testo cifrato". La crittografia HTTPS dei messaggi tra client e server utilizza algoritmi e chiavi. Gli algoritmi definiscono la step-by-step procedura mediante la quale i dati in chiaro vengono convertiti in testo cifrato (crittografia) e il testo cifrato viene riconvertito nel testo normale originale (decrittografia). Durante il processo di crittografia o decrittografia, gli algoritmi utilizzano delle chiavi, che possono essere private o pubbliche.
Nome di dominio completo (FQDN)
Per informazioni, consulta Nomi di dominio.
Infrastruttura a chiave pubblica
Un'infrastruttura a chiave pubblica (PKI) è composta dall'hardware, dal software, dalle persone, dalle policy, dalle procedure e dai documenti necessari per creare, emettere, gestire, distribuire, utilizzare, archiviare e revocare i certificati digitali. La PKI consente il trasferimento sicuro di informazioni su reti di computer.
Certificato root
Un'autorità di certificazione (CA) esiste in genere all'interno di una struttura gerarchica che contiene altre CA con relazioni padre-figlio chiaramente definite tra loro. Le CA figlio o subordinate sono certificate dalle CA padre, creando così una catena di certificati. La CA al livello più alto della gerarchia è detta CA root e il suo certificato viene denominato certificato root. Questo certificato generalmente è autofirmato.
Secure Sockets Layer (SSL)
Secure Sockets Layer (SSL) e Transport Layer Security (TLS) sono protocolli di crittografia che garantiscono la sicurezza delle comunicazioni su una rete di computer. TLS è il successore di SSL. Entrambi utilizzano i certificati X.509 per autenticare il server Entrambi i protocolli negoziano tra il client e il server una chiave simmetrica che viene utilizzata per crittografare il flusso di dati tra due entità.
HTTPS sicuro
HTTPS sta per HTTP su SSL/TLS, un formato sicuro di HTTP che è supportato da tutti i principali browser e server. Tutte le richieste e risposte HTTP sono crittografate prima che vengano inviate attraverso una rete. HTTPS combina il protocollo HTTP con tecniche di crittografia simmetrica, asimmetrica e basata su certificati X.509. HTTPS funziona inserendo un livello di sicurezza crittografico sotto il livello di applicazione HTTP e sopra il livello di trasporto TCP nel modello OSI (Open Systems Interconnection). Il livello di protezione usa il protocollo Secure Sockets Layer (SSL) o il protocollo Transport Layer Security (TLS).
Certificati del server SSL
Le transazioni HTTPS richiedono certificati del server per autenticare un server. Un certificato del server è una struttura di dati X.509 v3 che associa la chiave pubblica nel certificato all'oggetto del certificato. Un certificato SSL/TLS viene firmato da un'autorità di certificazione (CA) e contiene il nome del server, il periodo di validità, la chiave pubblica, l'algoritmo di firma e altri elementi.
Crittografia delle chiavi simmetrica
La crittografia delle chiavi simmetrica utilizza la stessa chiave sia per crittografare che per decriptare i dati digitali. Consulta anche Crittografia delle chiavi asimmetrica.
Transport Layer Security (TLS)
Per informazioni, consulta Secure Sockets Layer (SSL).
Trust
Per poter considerare attendibile l'identità di un sito Web, un browser Web deve essere in grado di verificare il certificato di tale sito. I browser, tuttavia, considerano attendibili solo un ristretto numero di certificati noti come certificati root CA. Una terza parte attendibile, nota come autorità di certificazione (CA), convalida l'identità del sito Web ed emette un certificato digitale firmato all'operatore del sito Web. Il browser può quindi verificare la firma digitale per convalidare l'identità del sito Web. Se la convalida riesce, verrà visualizzata un'icona a forma di lucchetto nella barra degli indirizzi.
