Digital Certificates para Build
Você precisa de um certificado TLS para transferir dados por HTTPS. O uso do protocolo HTTPS com um certificado garante que os dados de seus clientes sejam transferidos com segurança pela Internet, demonstra a confiabilidade de seu site e a autenticidade de seu domínio, e melhora a posição de seu site em mecanismos de busca como o Google.
Na Azion, você pode contar com as seguintes opções de certificados TLS para tráfego HTTPS:
- Azion SAN certificate: registra seu domínio como Subject Alternate Name (SAN) no certificado da Azion.
- Custom certificate: registra seu certificado TLS pessoal obtido de uma autoridade de certificação (CA) ou uma Trusted CA.
- Let’s Encrypt certificate: solicita a emissão de um certificado Let’s Encrypt™ gerenciado automaticamente pela Azion.
Você também pode criar um Certificate Signing Request (CSR) pela Azion para requisitar um certificado a uma CA.
A Azion também suporta Certificate Revocation List (CRL) via Azion API.
Implementação
Azion SAN certificate
Ao utilizar o Azion Edge Application, você conta com um certificado TLS para tráfego em HTTPS sem custo adicional. Quando você cria um domínio para sua edge application usando o Azion Console, um endereço na zona azionedge.net
é atribuído automaticamente.
Se desejar, você pode utilizar o domínio atribuído para entregar seu conteúdo estático sobre HTTPS, evitando os custos de emissão de certificados TLS para ambientes de homologação ou URLs cujo domínio possa ser compartilhado com outros clientes da Azion. Desse modo, seu domínio será registrado como Subject Alternative Name (SAN) sob o certificado TLS da Azion.
Edge certificate
Se você deseja usar um domínio próprio, você pode registrar seu próprio certificado TLS (X.509) e chave privada em formato ASCII PEM no Azion Console sem custo adicional. A chave privada não pode estar protegida por passphrase.
Quando um certificado for cadastrado, será realizada a validação da cadeia e a Azion completará o registro com a cadeia completa. Caso seja necessário, é possível informar a cadeia completa no momento do cadastro.
Quando seu certificado é registrado com a Azion, domínios com o certificado usam a extensão Server Name Indication (SNI) do protocolo TLS. Verifique a lista da navegadores com suporte a SNI.
Validação
Há três tipos de validação que você pode escolher:
Domain Validation (DV) | Organization Validation (OV) | Extended Validation (EV) |
---|---|---|
Validação sobre o seu direito de uso do domínio, sendo a mais simples das três opções. Esta é a opção recomendada pela Azion para a maioria das empresas. | Validação sobre o seu direito de uso do domínio e mais algumas validações sobre a organização requisitante. | Validação estendida que exige documentações adicionais para comprovação sobre a existência física, legal e operacional da organização requisitante, sendo a mais complexa das três opções. |
Tipos de criptografia
Atualmente, a Azion trabalha com dois tipos de certificados: RSA e ECC/ECDSA. Cada certificado tem sua característica e seu nível de segurança, e a Azion permite que você escolha a opção que se ajusta melhor ao seu cenário.
RSA
Rivest-Shamir-Adleman (RSA) é um dos primeiros sistemas de criptografia de chave pública e é amplamente utilizado para transmissão segura de dados. Neste sistema de criptografia, a chave de encriptação é pública e é diferente da chave de decriptação que é secreta (privada).Toda mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada.
O RSA é um algoritmo relativamente lento e, por isso, é menos usado para criptografar diretamente os dados do usuário. Mais frequentemente, o RSA passa chaves criptografadas compartilhadas para criptografia de chave simétrica que, por sua vez, pode executar operações de criptografia-descriptografia em massa a uma velocidade muito maior.
ECC/ECDSA
A criptografia de curvas elípticas (ECC), mais especificamente a criptografia Elliptic Curve Digital Signature Algorithm (ECDSA) para certificados digitais, é um modelo para a criptografia de chave pública com base na estrutura algébrica de curvas elípticas. A criptografia de chave pública é baseada na criação de enigmas matemáticos que são difíceis de resolver — por isso, ele se torna muito mais seguro que outros tipos de certificado, como, por exemplo, o RSA.
Chaves menores são menos intensivas computacionalmente para gerar assinaturas porque envolvem números matemáticos menores. ECC é mais rápida na geração de assinaturas e com mais performance sobre RSA.
Certificado Trusted CA
Uma Trusted CA é uma entidade autorizada a emitir certificados digitais que podem ser usados para o protocolo de segurança Mutual Transport Layer Security (mTLS). Você pode fazer o upload certificados de Trusted CA e certificados intermediários.
Certificado Let’s Encrypt
Let’s Encrypt™ é uma CA que permite que indivíduos e empresas obtenham, renovem e gerenciem certificados TLS gratuitamente. Quando você cria um Domínio com a Azion, você pode escolher obter um um certificado TLS assinado pela Let’s Encrypt. Você pode requisitar a criação de certificados Let’s Encrypt certificates para domínios hospedados no Edge DNS ou em um provedor de DNS externo.
Quando você cria um domínio com a Azion, você pode escolher a opção Let’s Encrypt para gerar automaticamente um certificado Let’s Encrypt. Uma entrada para esse certificado será listada na página Digital Certificates no Azion Console. Depois que o certificado for submetido à validação, emissão e armazenamento do DNS, ele se tornará ativo.
Consulte o guia Como gerar um certificado Let’s Encrypt para o seu domínio para saber como validar esse tipo de certificado.
Os certificados Let’s Encrypt ativos serão renovados automaticamente antes da data de expiração de 90 dias a partir de sua emissão, desde que você não vincule outro certificado ao domínio ou exclua o domínio associado. Certificados que foram desvinculados podem ser vinculados ao domínio se ainda forem válidos.
Consulte o guia sobre criar registro TXT para certificado Let's EncryptConfiguração de CNAMEs
Ao criar um domínio com Domain da Azion e selecionar a opção Let’s Encrypt certificate, você pode listar até 50 CNAMEs para solicitar o certificado. Os CNAMEs listados após o domínio de nível superior são registrados como Subject Alternative Names (SAN).
Se você modificar a lista de CNAMEs nas configurações do domínio, a Azion irá criar um novo certificado com base no conjunto de CNAMEs modificados, e a entrada antiga será desativada.
Status
Se algum dos CNAMEs falhar no desafio DNS-01, o certificado não será gerado e permanecerá com o status Pending.
Uso de wildcard
Você pode usar CNAMEs wildcard (*.dominio.com
) ou misturar CNAMEs wildcard e não wildcard no mesmo Domain. Quando você usa a notação wildcard, você não precisa especificar subdomínios que já estão abarcados na wildcard. Por exemplo, se você decidir que o certificado deve ser aplicado a *.dominio.com
, você não precisa incluir blog.domain.com
na lista de CNAMEs do Domain.
A resolução do nome do host segue as regras padrão da Azion: os domínios específicos têm precedência sobre os wildcard. Por exemplo, um certificado Let’s Encrypt para o Domain blog.dominio.com
terá precedência sobre um certificado para o Domain *.dominio.com
.
Certificate Signing Request
Um Certificate Signing Request (CSR) é um dos primeiros passos para obter seu próprio certificado TLS. Você pode submeter um CSA a uma CA para receber seu certificado.
Você precisa informar:
- CNAME: o domínio principal do certificado. Deve ser informado em formato FQDN, por exemplo:
seudominio.com
. - Country/region: país ou região da organização. Deve ser em formato ISO 3166.
- State/province: estado ou província da organização.
- City/locality: cidade ou localidade da organização.
- Organization: nome da organização.
- Organizational unit: a pessoa, departamento ou unidade responsável pelo certificado.
- Email: email da unidade responsável.
- Private Key Type: tipo de chave privada desejada.
- Subject Alternate Names (SAN): uma lista de outros CNAMEs a serem registrados como alternate names.
Certificate Revocation List (CRL)
Uma Certificate Revocation List (CRL) é uma lista de certificados digitais que foram revogados antes de sua data de expiração. Ela funciona como uma lista de bloqueio que você pode adicionar na sua conta, indicando que esses certificados não são confiáveis. Esta lista é assinada pela autoridade certificadora (CA) emissora para garantir sua segurança.
A CRL funciona quando associada a um Certificado CA mTLS. Portanto, você precisa ter mTLS habilitado no domínio ao qual deseja associar a CRL.
A CRL é validada automaticamente antes de ser criada com sucesso na Plataforma de Edge Computing da Azion. O gerenciamento, incluindo a criação de uma CRL, está disponível através da API Azion.
Se você quer adicionar várias CRLs, você deve fazer uma requisição POST para cada CRL.
Observe, também, que o campo raw_crl
na requisição POST é uma string. Em requisições com formato JSON, as JSON strings exigem um escape (\n
) para quebrar linhas. Lembre-se de adicionar um escape para representar cada linha no seu JSON.
Você pode associar uma ou mais CRLs a um domínio via API.
Marca registrada
Let’s Encrypt é uma marca registrada pela Internet Security Research Group. Todos os direitos reservados.