Publicado: Sep 3, 2021
Private Certificate Authority (CA) do AWS Certificate Manager (ACM) anuncia a disponibilidade de OCSP para distribuir informações de revogação de certificados. Ao estabelecer uma conexão TLS criptografada, os endpoints podem usar o OCSP para consultar, quase em tempo real, se um certificado foi revogado. Isso alerta o endpoint que não se deve confiar no certificado. Esse recurso fornece uma solução OCSP totalmente gerenciada para notificar os endpoints de que os certificados foram revogados sem precisar gerenciar ou operar as próprias infraestruturas.
Anteriormente, os clientes do ACM Private CA podiam usar CRLs para conferir o status de revogação para certificados emitidos pelo ACM Private CA ou construir e gerenciar seu próprio OCSP. Os Certificate Revocation Lists (CRLs - Certificate Revocation Lists) não são adequados para endpoints com armazenamento limitado, introduzem processamento de computação adicional para acessar e parear e podem ficar desatualizados, pois muitas vezes os clientes baixam os CRLs apenas uma vez por dia ou menos. Construir e operar um respondedor OCSP requer que os clientes realizem desenvolvimento personalizado, lidem com manutenção padrão e respondam a eventos de emergência se o OCSP falhar.
O Private CA agora oferece um OCSP totalmente gerenciado. Os clientes podem habilitar o OCSP com uma única operação no console, CloudFormation, API ou linha de comando, sem necessidade de desenvolvimento ou implantação para CAs novas ou existentes. O OCSP de CA privada permite que os clientes implantem certificados nos quais qualquer endpoint TLS pode consultar o status de revogação diretamente, movendo os requisitos de armazenamento e processamento para o respondente OCSP e resolvendo o problema de status antigo. Clientes que emitem certificados agora podem escolher entre OCSP, CRLs ou ambos para distribuir informações de revogação para seus certificados privados.
O Private CA fornece a você um serviço de CA privada altamente disponível sem o investimento inicial e os custos de manutenção contínuos de operar sua própria CA privada. Os administradores de CA podem usar a o Private CA para criar uma hierarquia de CA completa, incluindo CAs raiz e subordinadas online, sem necessidade de CAs externas. Com o Private CA, você pode criar certificados privados para seus recursos em um só lugar com um serviço de CA privada gerenciado seguro e pago conforme o uso. O recurso OCSP é uma opção de complemento para o Private CA. O preço do recurso OCSP pode ser encontrado na página de preço do ACM Private CA.
O recurso CA OCSP está disponível em todas as regiões compatíveis com o Private CA, exceto AWS GovCloud. Para obter uma lista de regiões onde o Private CA está disponível, consulte
Regiões da AWS e endpoints
.
Para começar a usar o Private CA, acesse a página Conceitos básicos.