Amazon Trust Services
Amazon Trust Services (ATS) — это дочерняя компания Amazon, выступающая в роли удостоверяющего центра (Certificate Authority, CA), который выпускает и управляет цифровыми сертификатами Transport Layer Security (TLS) и Secure Sockets Layer (SSL). ATS является одним из крупнейших в мире поставщиков публично доверенных сертификатов, обслуживая преимущественно инфраструктуру облачных сервисов Amazon Web Services (AWS), а также сторонних клиентов. Компания была основана в 2015 году для обеспечения масштабируемого, автоматизированного и безопасного управления сертификатами для веб-сайтов и приложений, работающих в экосистеме Amazon и за её пределами.
История
Предпосылки создания
До 2015 года Amazon использовала сертификаты, выпущенные сторонними удостоверяющими центрами, такими как VeriSign (позднее Symantec) и Comodo. Однако с ростом числа клиентов AWS и увеличением объёмов трафика, требующего шифрования, возникла необходимость в собственном центре сертификации. Основными причинами стали:
- Масштабируемость: автоматизация выпуска и обновления миллионов сертификатов для сервисов AWS (CloudFront, Elastic Load Balancing, API Gateway).
- Снижение затрат: исключение платы за сертификаты от сторонних CA для внутренних нужд.
- Контроль над цепочкой доверия: возможность самостоятельно управлять корневыми и промежуточными сертификатами, а также политиками их отзыва.
Основание и развитие
В апреле 2015 года Amazon объявила о создании Amazon Trust Services. Первоначально ATS выпускала сертификаты только для доменов, управляемых Amazon (например, .amazon.com, .aws.com). В июне 2015 года компания подала заявку на включение своих корневых сертификатов в программы доверия основных браузеров (Mozilla, Google, Apple, Microsoft). Процесс аудита и включения занял несколько месяцев.
В октябре 2017 года ATS начала выпуск публично доверенных сертификатов для клиентов AWS через сервис AWS Certificate Manager (ACM). Это позволило пользователям бесплатно получать и автоматически обновлять TLS/SSL-сертификаты для своих ресурсов в облаке Amazon. В 2018 году ATS расширила свою деятельность, начав выпуск сертификатов для сторонних организаций, не являющихся клиентами AWS, через партнёрскую сеть.
Ключевые события
- 2015: Основание ATS, подача заявок в программы доверия браузеров.
- 2017: Начало выпуска сертификатов через AWS Certificate Manager.
- 2019: ATS стала одним из первых CA, внедривших поддержку протокола Certificate Transparency (CT) в полном объёме.
- 2021: Компания получила сертификацию WebTrust for CA (международный стандарт аудита удостоверяющих центров).
- 2023: ATS объявила о поддержке сертификатов с валидацией домена (DV) и организации (OV) для клиентов вне AWS.
Устройство и архитектура
Инфраструктура
ATS использует распределённую архитектуру, основанную на облачных ресурсах AWS. Ключевые компоненты:
- Корневые сертификаты (Root CAs): защищённые офлайн-ключи, используемые для подписи промежуточных сертификатов. Хранятся в аппаратных модулях безопасности (HSM) в географически распределённых центрах обработки данных.
- Промежуточные сертификаты (Intermediate CAs): выпускаются от корневых и используются для подписи конечных сертификатов. Работают в онлайн-режиме, обеспечивая высокую доступность.
- API и автоматизация: все операции по выпуску, обновлению и отзыву сертификатов выполняются через программные интерфейсы (REST API), что позволяет интегрировать ATS с любыми системами управления.
- Система мониторинга: непрерывный контроль за сроками действия сертификатов, состоянием цепочек доверия и попытками компрометации.
Процесс выпуска сертификата
- Запрос: клиент (через ACM или сторонний API) отправляет запрос на выпуск сертификата для определённого домена.
- Валидация: ATS проверяет право владения доменом (Domain Validation, DV) — обычно через DNS-запись, HTTP-файл или email. Для сертификатов с валидацией организации (OV) проводится дополнительная проверка юридического лица.
- Генерация: после успешной валидации ATS создаёт пару ключей (публичный и приватный) или принимает предоставленный клиентом CSR (Certificate Signing Request).
- Подпись: промежуточный сертификат ATS подписывает конечный сертификат, который затем передаётся клиенту.
- Публикация: сертификат регистрируется в журналах Certificate Transparency (CT) для обеспечения прозрачности.
Классификация сертификатов
ATS выпускает сертификаты следующих типов:
| Тип сертификата | Уровень валидации | Применение | Особенности |
|---|---|---|---|
| Domain Validation (DV) | Подтверждение права на домен | Личные сайты, небольшие проекты | Автоматический выпуск, низкая стоимость |
| Organization Validation (OV) | Проверка организации | Бизнес-сайты, интернет-магазины | Ручная верификация, отображает название компании |
| Wildcard | DV или OV | Субдомены (*.example.com) | Единый сертификат для всех поддоменов |
| Multi-Domain (SAN) | DV или OV | Несколько доменов в одном сертификате | Поддержка Subject Alternative Names |
Все сертификаты ATS поддерживают алгоритмы RSA (2048/4096 бит) и ECDSA (P-256/P-384), а также протокол TLS 1.2 и 1.3.
Применение
В экосистеме AWS
Основная сфера использования ATS — интеграция с сервисами Amazon:
- AWS Certificate Manager (ACM): бесплатное получение и автоматическое обновление сертификатов для CloudFront, Elastic Load Balancing, API Gateway, Elastic Beanstalk и других сервисов.
- Amazon CloudFront: обеспечение HTTPS-соединений для CDN-распределений.
- AWS IoT: защита MQTT-соединений между устройствами и облаком.
- AWS Lambda: шифрование трафика между функциями и внешними сервисами.
Для сторонних клиентов
С 2018 года ATS предлагает сертификаты организациям, не использующим AWS. Примеры:
- Хостинг-провайдеры, интегрирующие ATS через API.
- Крупные интернет-компании, нуждающиеся в массовом выпуске сертификатов.
- Государственные учреждения, требующие соответствия стандартам безопасности.
Интересные факты
- ATS является одним из немногих удостоверяющих центров, полностью построенных на облачной инфраструктуре (AWS), что обеспечивает высокую отказоустойчивость.
- Компания поддерживает протокол ACME (Automated Certificate Management Environment), что позволяет использовать её сертификаты с популярными инструментами, такими как Certbot и Caddy.
- В 2022 году ATS выпустила более 50 миллионов сертификатов, что составляет около 5% мирового рынка TLS/SSL-сертификатов.
- Корневые сертификаты ATS хранятся в HSM, сертифицированных по стандарту FIPS 140-2 Level 3.
Критика
Основные претензии к ATS связаны с:
- Зависимостью от экосистемы Amazon: для полного использования возможностей ATS требуется интеграция с AWS, что может создавать vendor lock-in.
- Прозрачностью: в отличие от некоторых других CA, ATS не публикует полную статистику по количеству выпущенных сертификатов и случаям их компрометации.
- Скоростью отзыва: в редких случаях (например, при утере приватного ключа) процесс отзыва сертификата может занимать до 24 часов из-за распределённой архитектуры.
Источники
- Официальная документация Amazon Trust Services (AWS).
- Отчёты аудита WebTrust for CA (2021–2023).
- Публикации Mozilla CA Certificate Program (2015–2024).
- Стандарты Certificate Transparency (RFC 6962).
- Материалы конференций по информационной безопасности (Black Hat, RSA Conference).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →