In questi giorni il team di Let's Encrypt, nota Certificate authority non profit che si occupa di emettere certificati TLS, ha annunciato che i requisiti di convalida del protocollo ACME diventeranno ancora più stringenti. Saranno infatti eseguite diverse validation request da differenti datacenter.
ACME (Automatic Certificate Management Environment) è un protocollo di comunicazione, progettato dall'Internet Security Research Group appositamente per Let's Encrypt, pensato per automatizzare le interazioni tra le varie Certificate authority, le compagnie abilitate ad emettere dei certificati di sicurezza, e i Web server. ACME si occupa di automatizzare il processo di deploy delle PKI (infrastruttura a chiave pubblica), ovvero quell'insieme di tecnologie che consentono a terze parti fidate di verificare e/o farsi garanti dell'identità di un utente.
A comunicare agli utenti le nuove disposizioni è stato l'ingegnere software Daniel McCarney sul blog ufficiale dell'azienda:
Da Mercoledì 19 febbraio 2020 inizieremo a richiedere dei requisiti di convalida più rigorosi [per le API ACME v1 e v2]. Saranno effettuate più richieste di convalida da diverse network perspective.
Gran parte delle emissioni dei certificati dovrebbero continuare normalmente, tuttavia riteniamo che sia necessario rivedere i certificati e le procedure di un piccolo numero di alcuni domini. Le problematiche più comuni riguarderanno quasi certamente gli host che utilizzano regole firewall pensate per consentire la convalida solo ad alcuni indirizzi IP specifici.
In precedenza per ottenere la convalida del protocollo ACME era necessaria una singola validation request da uno dei datacenter primari di Let's Encrypt. A partire dal 19 febbraio vengono invece eseguite un totale di quattro validation request, ovvero una dal datacenter primario e tre da datacenter remoti.
Ovviamente il team di Let's Encrypt sa bene che non tutti i suoi clienti potranno adattarsi fin da subito alle nuove disposizioni, ecco perché gli utenti potranno richiedere l'inserimento dei propri domini all'interno di un elenco temporaneo di "eccezioni".
Gli ACME Account ID e i domini presenti in questa lista potranno ricevere la validazione del certificato con la semplice richiesta al database primario. Questa opzione sarà disponibile fino al 1° giugno 2020, dopo tale data gli utenti dovranno necessariamente uniformarsi al nuovo processo di convalida.