Digital Certificates

Você precisa de um certificado TLS para transferir dados por HTTPS. O uso do protocolo HTTPS com um certificado garante que os dados de seus clientes sejam transferidos com segurança pela Internet, demonstra a confiabilidade de seu site e a autenticidade de seu domínio, e melhora a posição de seu site em mecanismos de busca como o Google.

Na Azion, você pode contar com as seguintes opções de certificados TLS para tráfego HTTPS:

  • Azion SAN certificate: registra seu domínio como Subject Alternate Name (SAN) no certificado da Azion.
  • Custom certificate: registra seu certificado TLS pessoal obtido de uma autoridade de certificação (CA) ou uma Trusted CA.
  • Let’s Encrypt certificate: solicita a emissão de um certificado Let’s Encrypt™ gerenciado automaticamente pela Azion.

Você também pode criar um Certificate Signing Request (CSR) pela Azion para requisitar um certificado a uma CA.

EscopoRecurso
Sobre DomainsDomains
Sobre mTLSmTLS

Ao utilizar o Azion Edge Application, você conta com um certificado TLS para tráfego em HTTPS sem custo adicional. Quando você cria um domínio para sua edge application usando o Real-Time Manager, um endereço na zona azionedge.net é atribuído automaticamente.

Se desejar, você pode utilizar o domínio atribuído para entregar seu conteúdo estático sobre HTTPS, evitando os custos de emissão de certificados TLS para ambientes de homologação ou URLs cujo domínio possa ser compartilhado com outros clientes da Azion. Desse modo, seu domínio será registrado como Subject Alternative Name (SAN) sob o certificado TLS da Azion.


Se você deseja usar um domínio próprio, você pode registrar seu próprio certificado TLS (X.509) e chave privada em formato ASCII PEM no Real-Time Manager sem custo adicional. A chave privada não pode estar protegida por passphrase.

Quando um certificado for cadastrado, será realizada a validação da cadeia e a Azion completará o registro com a cadeia completa. Caso seja necessário, é possível informar a cadeia completa no momento do cadastro.

Quando seu certificado é registrado com a Azion, domínios com o certificado usam a extensão Server Name Indication (SNI) do protocolo TLS. Verifique a lista da navegadores com suporte a SNI.

Há três tipos de validação que você pode escolher:

Domain Validation (DV)Organization Validation (OV)Extended Validation (EV)
Validação sobre o seu direito de uso do domínio, sendo a mais simples das três opções. Esta é a opção recomendada pela Azion para a maioria das empresas.Validação sobre o seu direito de uso do domínio e mais algumas validações sobre a organização requisitante.Validação estendida que exige documentações adicionais para comprovação sobre a existência física, legal e operacional da organização requisitante, sendo a mais complexa das três opções.

Atualmente, a Azion trabalha com dois tipos de certificados: RSA e ECC/ECDSA. Cada certificado tem sua característica e seu nível de segurança, e a Azion permite que você escolha a opção que se ajusta melhor ao seu cenário.

Rivest-Shamir-Adleman (RSA) é um dos primeiros sistemas de criptografia de chave pública e é amplamente utilizado para transmissão segura de dados. Neste sistema de criptografia, a chave de encriptação é pública e é diferente da chave de decriptação que é secreta (privada).Toda mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada.

O RSA é um algoritmo relativamente lento e, por isso, é menos usado para criptografar diretamente os dados do usuário. Mais frequentemente, o RSA passa chaves criptografadas compartilhadas para criptografia de chave simétrica que, por sua vez, pode executar operações de criptografia-descriptografia em massa a uma velocidade muito maior.

A criptografia de curvas elípticas (ECC), mais especificamente a criptografia Elliptic Curve Digital Signature Algorithm (ECDSA) para certificados digitais, é um modelo para a criptografia de chave pública com base na estrutura algébrica de curvas elípticas. A criptografia de chave pública é baseada na criação de enigmas matemáticos que são difíceis de resolver — por isso, ele se torna muito mais seguro que outros tipos de certificado, como, por exemplo, o RSA.

Chaves menores são menos intensivas computacionalmente para gerar assinaturas porque envolvem números matemáticos menores. ECC é mais rápida na geração de assinaturas e com mais performance sobre RSA.

Uma Trusted CA é uma entidade autorizada a emitir certificados digitais que podem ser usados para o protocolo de segurança Mutual Transport Layer Security (mTLS). Você pode fazer o upload certificados de Trusted CA e certificados intermediários.


Let’s Encrypt™ é uma CA que permite que indivíduos e empresas obtenham, renovem e gerenciem certificados TLS gratuitamente. Quando você cria um Domínio com a Azion, você pode escolher obter um um certificado TLS assinado pela Let’s Encrypt. Você pode requisitar a criação de certificados Let’s Encrypt certificates para domínios hospedados no Intelligent DNS ou em um provedor de DNS externo.

Quando você cria um domínio com a Azion, você pode escolher a opção Let’s Encrypt para gerar automaticamente um certificado Let’s Encrypt. Uma entrada para esse certificado será listada na página Digital Certificates no RTM. Depois que o certificado for submetido à validação, emissão e armazenamento do DNS, ele se tornará ativo.

Consulte o guia Como gerar um certificado Let’s Encrypt para o seu domínio para saber como validar esse tipo de certificado.

Os certificados Let’s Encrypt ativos serão renovados automaticamente antes da data de expiração de 90 dias a partir de sua emissão, desde que você não vincule outro certificado ao domínio ou exclua o domínio associado. Certificados que foram desvinculados podem ser vinculados ao domínio se ainda forem válidos.

Ao criar um domínio com Domain da Azion e selecionar a opção Let’s Encrypt certificate, você pode listar até 50 CNAMEs para solicitar o certificado. Os CNAMEs listados após o domínio de nível superior são registrados como Subject Alternative Names (SAN).

Se você modificar a lista de CNAMEs nas configurações do domínio, a Azion irá criar um novo certificado com base no conjunto de CNAMEs modificados, e a entrada antiga será desativada.

Se algum dos CNAMEs falhar no desafio DNS-01, o certificado não será gerado e permanecerá com o status Pending.

Você pode usar CNAMEs wildcard (*.dominio.com) ou misturar CNAMEs wildcard e não wildcard no mesmo Domain. Quando você usa a notação wildcard, você não precisa especificar subdomínios que já estão abarcados na wildcard. Por exemplo, se você decidir que o certificado deve ser aplicado a *.dominio.com, você não precisa incluir blog.domain.com na lista de CNAMEs do Domain.

A resolução do nome do host segue as regras padrão da Azion: os domínios específicos têm precedência sobre os wildcard. Por exemplo, um certificado Let’s Encrypt para o Domain blog.dominio.com terá precedência sobre um certificado para o Domain *.dominio.com.


Um Certificate Signing Request (CSR) é um dos primeiros passos para obter seu próprio certificado TLS. Você pode submeter um CSA a uma CA para receber seu certificado.

Você precisa informar:

  • CNAME: o domínio principal do certificado. Deve ser informado em formato FQDN, por exemplo: seudominio.com.
  • Country/region: país ou região da organização. Deve ser em formato ISO 3166.
  • State/province: estado ou província da organização.
  • City/locality: cidade ou localidade da organização.
  • Organization: nome da organização.
  • Organizational unit: a pessoa, departamento ou unidade responsável pelo certificado.
  • Email: email da unidade responsável.
  • Private Key Type: tipo de chave privada desejada.
  • Subject Alternate Names (SAN): uma lista de outros CNAMEs a serem registrados como alternate names.

Para clientes com suporte ao FIPS 140 contratado, a chave privada será armazenada em um HSM que utiliza módulo criptográfico certificado no padrãoão FIPS-140 Level 3.


Let’s Encrypt é uma marca registrada pela Internet Security Research Group. Todos os direitos reservados.


Contribuidores