Открыть сервис

Amazon Trust Services

Amazon Trust Services (ATS) — это дочерняя компания Amazon, выступающая в роли удостоверяющего центра (Certificate Authority, CA), который выпускает и управляет цифровыми сертификатами Transport Layer Security (TLS) и Secure Sockets Layer (SSL). ATS является одним из крупнейших в мире поставщиков публично доверенных сертификатов, обслуживая преимущественно инфраструктуру облачных сервисов Amazon Web Services (AWS), а также сторонних клиентов. Компания была основана в 2015 году для обеспечения масштабируемого, автоматизированного и безопасного управления сертификатами для веб-сайтов и приложений, работающих в экосистеме Amazon и за её пределами.

История

Предпосылки создания

До 2015 года Amazon использовала сертификаты, выпущенные сторонними удостоверяющими центрами, такими как VeriSign (позднее Symantec) и Comodo. Однако с ростом числа клиентов AWS и увеличением объёмов трафика, требующего шифрования, возникла необходимость в собственном центре сертификации. Основными причинами стали:

  • Масштабируемость: автоматизация выпуска и обновления миллионов сертификатов для сервисов AWS (CloudFront, Elastic Load Balancing, API Gateway).
  • Снижение затрат: исключение платы за сертификаты от сторонних CA для внутренних нужд.
  • Контроль над цепочкой доверия: возможность самостоятельно управлять корневыми и промежуточными сертификатами, а также политиками их отзыва.

Основание и развитие

В апреле 2015 года Amazon объявила о создании Amazon Trust Services. Первоначально ATS выпускала сертификаты только для доменов, управляемых Amazon (например, .amazon.com, .aws.com). В июне 2015 года компания подала заявку на включение своих корневых сертификатов в программы доверия основных браузеров (Mozilla, Google, Apple, Microsoft). Процесс аудита и включения занял несколько месяцев.

В октябре 2017 года ATS начала выпуск публично доверенных сертификатов для клиентов AWS через сервис AWS Certificate Manager (ACM). Это позволило пользователям бесплатно получать и автоматически обновлять TLS/SSL-сертификаты для своих ресурсов в облаке Amazon. В 2018 году ATS расширила свою деятельность, начав выпуск сертификатов для сторонних организаций, не являющихся клиентами AWS, через партнёрскую сеть.

Ключевые события

  • 2015: Основание ATS, подача заявок в программы доверия браузеров.
  • 2017: Начало выпуска сертификатов через AWS Certificate Manager.
  • 2019: ATS стала одним из первых CA, внедривших поддержку протокола Certificate Transparency (CT) в полном объёме.
  • 2021: Компания получила сертификацию WebTrust for CA (международный стандарт аудита удостоверяющих центров).
  • 2023: ATS объявила о поддержке сертификатов с валидацией домена (DV) и организации (OV) для клиентов вне AWS.

Устройство и архитектура

Инфраструктура

ATS использует распределённую архитектуру, основанную на облачных ресурсах AWS. Ключевые компоненты:

  • Корневые сертификаты (Root CAs): защищённые офлайн-ключи, используемые для подписи промежуточных сертификатов. Хранятся в аппаратных модулях безопасности (HSM) в географически распределённых центрах обработки данных.
  • Промежуточные сертификаты (Intermediate CAs): выпускаются от корневых и используются для подписи конечных сертификатов. Работают в онлайн-режиме, обеспечивая высокую доступность.
  • API и автоматизация: все операции по выпуску, обновлению и отзыву сертификатов выполняются через программные интерфейсы (REST API), что позволяет интегрировать ATS с любыми системами управления.
  • Система мониторинга: непрерывный контроль за сроками действия сертификатов, состоянием цепочек доверия и попытками компрометации.

Процесс выпуска сертификата

  1. Запрос: клиент (через ACM или сторонний API) отправляет запрос на выпуск сертификата для определённого домена.
  2. Валидация: ATS проверяет право владения доменом (Domain Validation, DV) — обычно через DNS-запись, HTTP-файл или email. Для сертификатов с валидацией организации (OV) проводится дополнительная проверка юридического лица.
  3. Генерация: после успешной валидации ATS создаёт пару ключей (публичный и приватный) или принимает предоставленный клиентом CSR (Certificate Signing Request).
  4. Подпись: промежуточный сертификат ATS подписывает конечный сертификат, который затем передаётся клиенту.
  5. Публикация: сертификат регистрируется в журналах Certificate Transparency (CT) для обеспечения прозрачности.

Классификация сертификатов

ATS выпускает сертификаты следующих типов:

Тип сертификатаУровень валидацииПрименениеОсобенности
Domain Validation (DV)Подтверждение права на доменЛичные сайты, небольшие проектыАвтоматический выпуск, низкая стоимость
Organization Validation (OV)Проверка организацииБизнес-сайты, интернет-магазиныРучная верификация, отображает название компании
WildcardDV или OVСубдомены (*.example.com)Единый сертификат для всех поддоменов
Multi-Domain (SAN)DV или OVНесколько доменов в одном сертификатеПоддержка Subject Alternative Names

Все сертификаты ATS поддерживают алгоритмы RSA (2048/4096 бит) и ECDSA (P-256/P-384), а также протокол TLS 1.2 и 1.3.

Применение

В экосистеме AWS

Основная сфера использования ATS — интеграция с сервисами Amazon:

  • AWS Certificate Manager (ACM): бесплатное получение и автоматическое обновление сертификатов для CloudFront, Elastic Load Balancing, API Gateway, Elastic Beanstalk и других сервисов.
  • Amazon CloudFront: обеспечение HTTPS-соединений для CDN-распределений.
  • AWS IoT: защита MQTT-соединений между устройствами и облаком.
  • AWS Lambda: шифрование трафика между функциями и внешними сервисами.

Для сторонних клиентов

С 2018 года ATS предлагает сертификаты организациям, не использующим AWS. Примеры:

  • Хостинг-провайдеры, интегрирующие ATS через API.
  • Крупные интернет-компании, нуждающиеся в массовом выпуске сертификатов.
  • Государственные учреждения, требующие соответствия стандартам безопасности.

Интересные факты

  • ATS является одним из немногих удостоверяющих центров, полностью построенных на облачной инфраструктуре (AWS), что обеспечивает высокую отказоустойчивость.
  • Компания поддерживает протокол ACME (Automated Certificate Management Environment), что позволяет использовать её сертификаты с популярными инструментами, такими как Certbot и Caddy.
  • В 2022 году ATS выпустила более 50 миллионов сертификатов, что составляет около 5% мирового рынка TLS/SSL-сертификатов.
  • Корневые сертификаты ATS хранятся в HSM, сертифицированных по стандарту FIPS 140-2 Level 3.

Критика

Основные претензии к ATS связаны с:

  • Зависимостью от экосистемы Amazon: для полного использования возможностей ATS требуется интеграция с AWS, что может создавать vendor lock-in.
  • Прозрачностью: в отличие от некоторых других CA, ATS не публикует полную статистику по количеству выпущенных сертификатов и случаям их компрометации.
  • Скоростью отзыва: в редких случаях (например, при утере приватного ключа) процесс отзыва сертификата может занимать до 24 часов из-за распределённой архитектуры.

Источники

  • Официальная документация Amazon Trust Services (AWS).
  • Отчёты аудита WebTrust for CA (2021–2023).
  • Публикации Mozilla CA Certificate Program (2015–2024).
  • Стандарты Certificate Transparency (RFC 6962).
  • Материалы конференций по информационной безопасности (Black Hat, RSA Conference).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →