Conceitos

Esta seção fornece as definições dos conceitos usados pelo AWS Certificate Manager.

Certificado do ACM

O ACM gera certificados X.509 versão 3. Cada um deles é válido por 13 meses (395 dias) e contém as extensões a seguir.

• Basic Constraints (Restrições básicas): especifica se o requerente do certificado é uma autoridade de certificação (CA).

• Authority Key Identifier (Identificador de chave da autoridade): permite a identificação da chave pública correspondente à chave privada usada para assinar o certificado.

• Subject Key Identifier (Identificador de chave do requerente): permite a identificação de certificados que contenham uma chave pública específica.

• Key Usage (Uso da chave): define a finalidade da chave pública incorporada ao certificado.

• Extended Key Usage (Uso da chave estendido): especifica um ou mais finalidades de uso da chave pública além das especificadas pela extensão Key Usage (Uso da chave).

• CRL Distribution Points (Pontos de distribuição do CRL): especifica onde informações do CRL podem ser obtidas.

O texto simples de um certificado emitido pelo ACM é semelhante ao seguinte exemplo:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Example CA
        Validity
            Not Before: Jan 30 18:46:53 2018 GMT
            Not After : Jan 31 19:46:53 2018 GMT
        Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
                    69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
                    e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
                    a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
                    43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
                    08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
                    03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
                    b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
                    a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
                    05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
                    bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
                    68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
                    02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
                    5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
                    59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
                    40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
                    e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
                    08:73
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
            X509v3 Subject Key Identifier:
                97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://example.com/crl

    Signature Algorithm: sha256WithRSAEncryption
         69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
         69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
         8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
         76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
         cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
         d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
         e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
         17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
         94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
         8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
         03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
         44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
         a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
         8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
         12:b9:35:d5

	

CAs-raiz do ACM

Os certificados públicos de entidade final emitidos pelo ACM geram sua confiança das seguintes CAs-raiz da Amazon:

Nome distinto	Algoritmo de criptografia
CN=Amazon Root CA 1, O=Amazon, C=US	RSA de 2048 bits (RSA_2048)
CN=Amazon Root CA 2, O=Amazon, C=US	RSA de 4096 bits (RSA_4096)
CN=Amazon Root CA 3, O=Amazon, C=US	Elliptic Prime Curve de 256 bits (EC_prime256v1)
CN=Amazon Root CA 4, O=Amazon, C=US	Elliptic Prime Curve de 384 bits (EC_secp384r1)

A raiz padrão de confiança para certificados emitidos pelo ACM é CN=Amazon Root CA 1, O=Amazon, C=US, que oferece segurança RSA de 2048 bits. As outras raízes estão reservadas para uso futuro. Todas as raízes têm assinatura cruzada pelo certificado de autoridade de certificação raiz Starfield Services.

Para obter mais informações, consulte Amazon Trust Services.

Domínio de apex

Consulte Nomes de domínio.

Criptografia de chave assimétrica

Ao contrário da Criptografia de chave simétrica, a criptografia assimétrica usa chaves diferentes, mas matematicamente relacionadas, para criptografar e descriptografar o conteúdo. Uma das chaves é pública e, normalmente, é disponibilizada em um certificado X.509 v3. A outra chave é privada e fica armazenada em segurança. O certificado X.509 vincula a identidade de um usuário, computador ou outro recurso (o assunto do certificado) à chave pública.

Os certificados do ACM são certificados X.509 SSL/TLS que vinculam a identidade do seu site e os detalhes da sua organização à chave pública contida no certificado. O ACM usa a AWS KMS key para criptografar a chave privada. Para ter mais informações, consulte Segurança para chaves privadas de certificados.

Certificate Authority (Autoridade certificadora)

Uma autoridade certificadora (CA) é uma entidade que emite certificados digitais. Comercialmente, o tipo mais comum de certificado digital é baseado no padrão ISO X.509. A CA emite certificados digitais assinados que afirmam a identidade do certificado específico e vinculam essa identidade à chave pública contida no certificado. Em geral, a CA também gerencia a revogação de certificados.

Registro de transparência de certificados

Para se proteger contra certificados SSL/TLS emitidos por engano ou por um CA comprometida, alguns navegadores exigem que os certificados públicos emitidos para seu domínio sejam registrados em um log de transparência de certificados. O nome de domínio é registrado. A chave privada, não. Os certificados não registrados normalmente geram um erro no navegador.

É possível monitorar os logs para garantir a emissão de apenas certificados autorizados para seu domínio. É possível usar um serviço como o Certificate Search para verificar os logs.

Antes de emitir um certificado SSL/TLS publicamente confiável para seu domínio, a CA da Amazon envia-o a pelo menos três servidores de log de transparência de certificados. Esses servidores adicionam o certificado aos bancos de dados públicos e retornam um carimbo de tempo do certificado assinado (SCT) para a CA da Amazon. A CA incorpora o SCT no certificado, assina o certificado e emite-o para você. Os carimbos de tempo são incluídos com outras extensões X.509.

 X509v3 extensions:

   CT Precertificate SCTs:
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : BB:D9:DF:...8E:1E:D1:85
         Timestamp : Apr 24 23:43:15.598 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...18:CB:79:2F
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : 87:75:BF:...A0:83:0F
         Timestamp : Apr 24 23:43:15.565 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...29:8F:6C
 

O registro de transparência de certificados é automático ao solicitar ou renovar um certificado, a menos que você cancele essa opção. Para obter mais informações o cancelamento, consulte Cancelamento do registro em log de transparência de certificado.

Domain Name System

O Domain Name System (DNS) é um sistema de nomeação distribuído hierárquico para computadores e outros recursos conectados à internet ou a uma rede privada. O DNS é usado principalmente para converter nomes de domínio textuais, como aws.amazon.com, em endereços IP (Internet Protocol) numéricos no formato 111.122.133.144. O banco de dados do DNS de seu domínio, no entanto, contém vários registros que podem ser usados para outros fins. Por exemplo, com o ACM você pode usar um registro CNAME para validar que possui ou controla um domínio ao solicitar um certificado. Para ter mais informações, consulte DNSvalidação.

Nomes de domínio

Um nome de domínio é uma string de texto, como www.example.com, que pode ser convertida pelo Domain Name System (DNS) em um endereço IP. As redes de computadores, incluindo a Internet, usam endereços IP em vez de nomes textuais. Um nome de domínio consiste em diferentes rótulos separados por pontos:

TLD

O rótulo mais à direita é chamado de domínio de nível superior (TLD). Exemplos comuns incluem .com, .net e .edu. Além disso, o TLD das entidades registradas em alguns países é uma abreviação do nome do país e é chamado de código do país. Alguns exemplos são .uk para o Reino Unido, .ru para a Rússia e .fr para França. Quando os códigos de países são usados, uma hierarquia de segundo nível do TLD é frequentemente apresentada para identificar o tipo da entidade registrada. Por exemplo, o TLD .co.uk identifica empresas comerciais no Reino Unido.

Domínio de apex

O nome de domínio de apex inclui e expande o domínio de nível superior. Para nomes de domínio que incluem um código de país, o domínio de apex inclui o código e os rótulos, se houver algum, que identificam o tipo da entidade registrada. O domínio de apex não inclui subdomínios (consulte o parágrafo a seguir). Em www.example.com, o nome de domínio apex é example.com. Em www.example.co.uk, o nome de domínio apex é example.co.uk. Outros nomes frequentemente usados em lugar de apex são base, raiz, apex de raiz ou apex de zona.

Subdomínio

Os nomes dos subdomínios precedem o nome do domínio de apex e são separados dele, e entre si, por um período. O nome de subdomínio mais comum é www, mas qualquer nome é possível. Os nomes de subdomínios podem ter vários níveis. Por exemplo, em jake.dog.animals.example.com, os subdomínios são jake, dog e animals, nessa ordem.

Superdomínio

O domínio ao qual um subdomínio pertence.

FQDN

Um nome de domínio totalmente qualificado (FQDN) é o nome DNS completo de um computador, site ou outro recurso conectado a uma rede ou à Internet. Por exemplo, aws.amazon.com é o FQDN para o Amazon Web Services. Um FQDN inclui todos os domínios até o domínio de nível mais alto. Por exemplo, [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] representa o formato geral de um FQDN.

PQDN

Um nome de domínio que não é totalmente qualificado é chamado de nome de domínio parcialmente qualificado (PQDN), e é ambíguo. Um nome como [subdomain1.subdomain2.] é um PQDN porque o domínio raiz não pode ser determinado.

Registro

O direito de usar um nome de domínio é delegado pelos registradores de nomes de domínio. Os registradores normalmente são credenciados pela Internet Corporation for Assigned Names and Numbers (ICANN). Além disso, outras organizações chamadas registros mantêm os bancos de dados TLD. Quando você solicita um nome de domínio, o registrador envia suas informações para o registro do TLD apropriado. O registro atribui um nome de domínio, atualiza o banco de dados TLD e publica suas informações no WHOIS. Normalmente, os nomes de domínio devem ser adquiridos.

Criptografia e descriptografia

A criptografia é o processo de fornecer a confidencialidade dos dados. A descriptografia reverte o processo e recupera os dados originais. Os dados não criptografados normalmente são chamados de texto simples sejam ou não texto. Os dados criptografados geralmente são chamados de texto cifrado. A criptografia HTTPS de mensagens entre clientes e servidores usa algoritmos e chaves. Os algoritmos definem o step-by-step procedimento pelo qual os dados de texto simples são convertidos em texto cifrado (criptografia) e o texto cifrado é convertido novamente no texto sem formatação original (decodificação). As chaves são usadas pelos algoritmos durante o processo de criptografia ou descriptografia. As chaves podem ser privadas ou públicas.

Nome de domínio totalmente qualificado (FQDN)

Consulte Nomes de domínio.

Infraestrutura de chave pública

Uma infraestrutura de chave pública (PKI) consiste em hardware, software, pessoas, políticas, documentos e procedimentos necessários para criar, emitir, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. A PKI facilita a transferência segura de informações em redes de computadores.

Certificado raiz

Uma autoridade certificadora (CA) normalmente existe em uma estrutura hierárquica que contém várias outras CAs com relacionamentos pai-filho claramente definidos entre eles. CAs subordinadas (ou filhas) são certificadas pelas CAs de seus pais, criando uma cadeia de certificados. A CA no alto da hierarquia é chamada de CA raiz, e seu certificado é chamado de certificado raiz. Este certificado é geralmente autoassinado.

Secure Sockets Layer (SSL)

Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos de criptografia que fornecem segurança na comunicação em uma rede de computadores. TLS é o sucessor do SSL. Ambos usam certificados X.509 para autenticar o servidor. Os dois protocolos negociam uma chave simétrica entre o cliente e o servidor, que é usada para criptografar os dados entre as duas entidades.

HTTPS seguro

HTTPS significa HTTP sobre SSL/TLS, uma forma de HTTP seguro que é compatível com todos os principais navegadores e servidores. Todas as solicitações e respostas HTTP são criptografadas antes de serem enviadas pela rede. HTTPS combina o protocolo HTTP com técnicas de criptografia simétricas, assimétricas e baseadas em certificado X.509. HTTPS funciona inserindo uma camada de segurança de criptografia abaixo da camada de aplicativos HTTP e acima da camada de transporte TCP no modelo Open Systems Interconnection (OSI). A camada de segurança usa o protocolo Secure Sockets Layer (SSL) ou o protocolo de Transport Layer Security (TLS).

Certificados do servidor SSL

As transações HTTPS exigem certificados de servidor para autenticar um servidor. Um certificado de servidor é uma estrutura de dados X.509 v3 que vincula a chave pública no certificado ao assunto do certificado. Um certificado SSL/TLS é assinado por uma autoridade certificadora (CA) e contém o nome do servidor, o período de validade, a chave pública, o algoritmo de assinatura e mais.

Criptografia de chave simétrica

A criptografia de chave simétrica usa a mesma chave para criptografar e descriptografar dados digitais. Consulte também Criptografia de chave assimétrica.

Transport Layer Security (TLS)

Consulte Secure Sockets Layer (SSL).

Confiança

Para que um navegador da web confie na identidade de um site, o navegador deve ser capaz de verificar o certificado do site. Os navegadores, no entanto, confiam em apenas um pequeno número de certificados conhecidos como certificados CA raiz. Um terceiro confiável, conhecido como uma autoridade certificadora (CA), valida a identidade do site e emite um certificado digital assinado para o operador do site. O navegador pode, então, verificar a assinatura digital para validar a identidade do site. Se a validação for bem-sucedida, o navegador exibe um ícone de cadeado na barra de endereços.