ACM Private CA prend désormais en charge le protocole d'état des certificats en ligne (OCSP)

Publié le: Sep 3, 2021

AWS Certificate Manager (ACM) Private Certificate Authority (CA) annonce la disponibilité du protocole d'état des certificats en ligne (OCSP) pour distribuer les informations de révocation de certificats. Lorsque vous établissez une connexion TLS chiffrée, les points de terminaison peut utiliser l'OCSP pour savoir, en temps quasi-réel, si un certificat a été révoqué. Le point de terminaison reçoit alors une alerte pour l'informer de ne pas faire confiance à ce certificat. Cette fonction offre une solution OCSP entièrement gérée permettant d'informer les points de terminaison que les certificats ont été révoqués, sans avoir à gérer ni exploiter eux-mêmes l'infrastructure.
Auparavant, les clients d'ACM Private CA pouvaient utiliser les listes de révocation de certificats (CRL) pour vérifier l'état de révocation des certificats délivrés par ACM Private CA ou pour créer et gérer leur propre OCSP. Les listes de révocation de certificats ne conviennent pas aux points de terminaison ayant un stockage limité. Elles introduisent un traitement de calcul supplémentaire destiné à l'accès et à l'analyse. Enfin, elles peuvent devenir obsolètes car souvent les clients ne les téléchargent que quotidiennement, voire moins souvent. La création et l'exploitation d'un répondeur OCSP nécessitent que les clients effectuent un développement personnalisé, gèrent la maintenance de façon standard et répondent aux événements d'urgence en cas de défaillance de l'OCSP.
Private CA offre désormais un OCSP entièrement géré. Les clients peuvent activer l'OCSP en une seule opération via la console, CloudFormation, l'API ou la ligne de commande sans aucun développement ni déploiement requis pour les autorités de certification nouvelles ou existantes. L'OCSP de ACM Private CA permet aux clients de déployer des certificats sur lesquels n'importe quel point de terminaison TLS peut interroger directement l'état de révocation, en déplaçant les exigences de stockage et de traitement vers le répondeur OCSP et en résolvant le problème d'état obsolète. Les clients qui délivrent des certificats peuvent désormais choisir entre l'OCSP, les listes de révocation de certificats (CRL) ou les deux pour distribuer les informations de révocation de leurs certificats privés.

Private CA vous fournit un service d'autorité de certification privée hautement disponible sans investissement initial ni aucune prise en charge des coûts d'entretien continus inhérents à l'exploitation de votre propre autorité de certification privée. Les administrateurs d'autorités de certification peuvent utiliser l'autorité de certification privée pour créer une hiérarchie complète d'autorités de certification, y compris les autorités de certification racine et subordonnées en ligne, sans recourir à des autorités de certification externes. Grâce à Private CA, vous disposez d'un service d'autorité de certification privée sécurisé et géré que vous payez à l'utilisation, vous permettant de créer et gérer de manière centralisée des certificats pour vos ressources connectées. La fonction OCSP est une option complémentaire de Private CA. La tarification de la fonction OCSP est disponible sur la page de tarification publique d'ACM Private CA.

La fonction OCSP CA est disponible dans toutes les régions prises en charge par Private CA, à l'exception d'AWS GovCloud. Pour obtenir la liste des régions dans lesquelles Private CA est disponible, consultez la section Régions et points de terminaison AWS .

Pour démarrer avec Private CA, consultez la page Mise en route.