NGINX memperkenalkan dukungan bawaan untuk protokol ACME

 (blog.nginx.org)
5 poin oleh GN⁺ 2025-08-14 | Belum ada komentar. | Bagikan ke WhatsApp
  • NGINX merilis versi pratinjau yang secara native mendukung protokol ACME untuk mengotomatisasi penerbitan dan pembaruan sertifikat SSL/TLS
  • Melalui modul baru berbasis Rust ngx_http_acme_module, permintaan, pemasangan, dan pembaruan sertifikat kini dapat dilakukan hanya dengan konfigurasi NGINX tanpa alat eksternal
  • Dengan ini, ketergantungan pada alat eksternal seperti Certbot berkurang, sekaligus meningkatkan keamanan dan kemandirian platform
  • Versi awal mendukung HTTP-01 challenge, sementara dukungan TLS-ALPN dan DNS-01 direncanakan untuk tahap berikutnya
  • Dukungan ACME diharapkan memainkan peran penting dalam otomatisasi keamanan tidak hanya untuk web, tetapi juga di lingkungan IoT dan edge computing

Ikhtisar dan perubahan utama

  • NGINX merilis versi pratinjau fitur dukungan protokol ACME
  • Melalui modul baru ngx_http_acme_module, NGINX dirancang agar dapat menangani permintaan, pemasangan, dan pembaruan sertifikat langsung dari konfigurasi NGINX
  • Dukungan ACME ini secara internal memanfaatkan NGINX-Rust SDK dan disediakan dalam bentuk modul dinamis berbasis Rust
  • Fitur ini dapat digunakan baik oleh pengguna open source maupun pelanggan enterprise NGINX Plus
  • Dengan mengurangi ketergantungan pada alat eksternal seperti Certbot, keamanan dan efisiensi pengelolaan sertifikat meningkat

Pengenalan protokol ACME

  • Protokol ACME (Automated Certificate Management Environment) adalah protokol komunikasi yang mengotomatisasi penerbitan, verifikasi, pembaruan, dan pencabutan sertifikat SSL/TLS
  • Klien dapat mengelola siklus hidup sertifikat secara langsung melalui komunikasi otomatis dengan CA (Certificate Authority) tanpa pekerjaan manual dari perantara
  • Dikembangkan dan dipublikasikan pada 2015 oleh Internet Security Research Group (ISRG) melalui proyek Let’s Encrypt
  • Sebelum ACME hadir, proses penerbitan sertifikat bersifat manual dengan biaya dan kemungkinan kesalahan yang tinggi
  • ACMEv2 terbaru menambahkan berbagai kemampuan seperti metode autentikasi dan dukungan wildcard, sehingga meningkatkan fleksibilitas dan keamanan

Alur otomatisasi sertifikat berbasis ACME di NGINX

  • Di NGINX, otomatisasi siklus hidup sertifikat menggunakan protokol ACME berlangsung dalam 4 tahap berikut

  • 1. Konfigurasi server ACME

    • Untuk mengaktifkan fitur ACME, URL direktori server ACME harus ditentukan melalui acme_issuer
    • Saat terjadi proses penerbitan sertifikat, informasi kontak klien, jalur penyimpanan data status, dan opsi lain juga dapat ditentukan

  • 2. Alokasi memori bersama (zone)

    • Melalui acme_shared_zone, dapat ditambahkan pengaturan shared memory zone untuk menyimpan sertifikat, private key, dan data challenge
    • Ukuran default adalah 256K dan dapat diperbesar sesuai kebutuhan

  • 3. Konfigurasi challenge

    • Saat ini versi pratinjau hanya mendukung HTTP-01 challenge, yang digunakan untuk verifikasi kepemilikan domain
    • Untuk itu, konfigurasi NGINX harus mendefinisikan listener port 80 dan pengaturan respons 404 default
    • Dukungan TLS-ALPN dan DNS-01 challenge direncanakan di masa mendatang

  • 4. Penerbitan dan pembaruan sertifikat

    • Jika direktif acme_certificate ditambahkan ke server block, otomatisasi penerbitan/pembaruan sertifikat TLS untuk domain terkait dapat dilakukan
    • Domain target penerbitan sertifikat umumnya dinyatakan dengan server_name
    • Regular expression dan wildcard pada server_name belum didukung pada versi pratinjau
    • Variabel modul $acme_certificate dan $acme_certificate_key secara otomatis menghubungkan sertifikat dan key

Keunggulan utama

  • Protokol ACME menjadi pusat dari lonjakan penggunaan HTTPS di seluruh dunia
  • Pengelolaan sertifikat yang terotomatisasi secara signifikan mengurangi biaya manajemen siklus hidup sertifikat dan kesalahan akibat pekerjaan manual
  • Penghapusan alat eksternal membantu mengurangi attack surface dan meningkatkan portabilitas
  • Mendorong standardisasi keamanan di berbagai lingkungan

Rencana ke depan

  • Dukungan untuk challenge TLS-ALPN dan DNS-01 akan ditambahkan
  • Fitur akan diperluas berdasarkan masukan pengguna
  • Seiring meluasnya adopsi IoT, API, dan edge computing, ACME diperkirakan akan memainkan peran inti dalam infrastruktur keamanan otomatis yang lebih luas di masa depan
  • Dukungan native ACME dari NGINX akan menjadi fondasi dalam menjadikan keamanan web, otomasi, dan skalabilitas sebagai standar masa depan

Memulai

  • Pengguna open source dapat menggunakan modul prebuilt dari NGINX Linux packages
  • Pelanggan enterprise NGINX Plus mendapatkannya dalam bentuk modul dinamis yang didukung F5
  • Lihat dokumentasi modul di NGINX Docs

Bacaan terkait

Belum ada komentar.

Belum ada komentar.