

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Certificate Managercaracterísticas e limitações do certificado público
<a name="acm-certificate-characteristics"></a>

Os certificados públicos fornecidos pelo ACM têm as características e limitações a seguir. Essas características se aplicam apenas aos certificados fornecidos pelo ACM. Elas podem não se aplicar a [certificados importados](import-certificate.md).

**Confiança em navegadores e aplicativos**  <a name="trust-term"></a>
Os certificados do ACM são da confiança de todos os principais navegadores, incluindo Google Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari. Os navegadores exibem um ícone de cadeado quando conectados por TLS a sites que usam certificados do ACM. Java também confia nos certificados do ACM.

**Autoridade e hierarquia de certificação**  <a name="authority-term"></a>
Os certificados públicos solicitados pelo ACM vêm da [Amazon Trust Services](https://www.amazontrust.com/repository/), uma [autoridade de certificação Amazon-managed pública (CA)](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca). As Amazon Root CAs 1 a 4 são assinadas pela Starfield G2 Root Certificate Authority - G2. A raiz Starfield é confiável no Android (versões mais novas do Gingerbread) e iOS (versão 4.1\+). As raízes da Amazon são confiáveis no iOS 11\+. Os navegadores, aplicações ou sistemas operacionais que incluam as raízes da Amazon ou Starfield confiarão nos certificados públicos do ACM.  
O ACM emite certificados preliminares ou da entidade final aos clientes por meio de CAs intermediárias, atribuídas aleatoriamente com base no tipo de certificado (RSA ou ECDSA). O ACM não fornece informações intermediárias de CA devido a essa seleção aleatória.

**Validação de domínio (DV)**  <a name="domain-validation-term"></a>
Os certificados do ACM têm validação de domínio, identificando somente um nome de domínio. Ao solicitar um certificado do ACM, você deve provar a propriedade ou o controle de todos os domínios especificados. Você pode validar a propriedade usando e-mail ou DNS. Para obter mais informações, consulte [AWS Certificate Manager validação de e-mail](email-validation.md) e [AWS Certificate Manager Validação de DNSValidação por DNS](dns-validation.md).

**Validação por HTTP**  <a name="http-validation-term"></a>
O ACM oferece suporte à validação HTTP para verificação da propriedade do domínio ao emitir certificados TLS públicos para uso com. CloudFront Esse método usa redirecionamentos HTTP para provar a propriedade do domínio e oferece renovação automática semelhante à validação de DNS. Atualmente, a validação de HTTP só está disponível por meio do recurso CloudFront Distribution Tenants.

**Redirecionamento HTTP**  <a name="http-redirect-term"></a>
Para validação por HTTP, o ACM fornece um URL `RedirectFrom` e um URL `RedirectTo`. Você deve configurar um redirecionamento de `RedirectFrom` para `RedirectTo` para demonstrar controle do domínio. O `RedirectFrom` URL inclui o domínio validado, enquanto `RedirectTo` aponta para um ACM-controlled local na CloudFront infraestrutura que contém um token de validação exclusivo.

**Gerenciado por**  <a name="managed-by-term"></a>
Os certificados no ACM gerenciados por outro serviço mostram a identidade desse serviço no campo `ManagedBy`. Para certificados usando validação HTTP com CloudFront, esse campo exibe “CLOUDFRONT”. Esses certificados só podem ser usados por meio de CloudFront. O campo `ManagedBy` aparece nas APIs **ListCertificates** e **DescribeCertificate** e nas páginas de detalhes e inventário dos certificados no console do ACM.  
O campo `ManagedBy` é mutuamente excludente com o atributo “Pode ser usado com”. Para CloudFront-managed certificados, você não pode adicionar novos usos por meio de outros AWS serviços. Você só pode usar esses certificados com mais recursos por meio da CloudFront API.

**Rotação CA intermediária e raiz**  <a name="rotation-term"></a>
A Amazon pode descontinuar uma CA intermediária sem aviso prévio para manter uma infraestrutura de certificados resiliente. Essas mudanças não afetam os clientes. Para obter mais informações, consulte [“Amazon apresenta autoridades de certificação intermediárias dinâmicas”](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/).  
Se a Amazon descontinuar uma CA raiz, a alteração ocorrerá tão rapidamente quanto necessário. A Amazon usará todos os métodos disponíveis para notificar AWS os clientesHealth Dashboard, incluindo e-mail e contato com gerentes técnicos de contas.

**Acesso ao firewall para revogação**  <a name="revocation-term"></a>
Os certificados da entidade final revogados usam OCSP e CRLs para verificar e publicar informações de revogação. Alguns firewalls de clientes podem precisar de regras adicionais para permitir esses mecanismos.  
Use esses padrões curingas de URL para identificar o tráfego de revogação:  
+ **OCSP**

  `http://ocsp.?????.amazontrust.com`

  `http://ocsp.*.amazontrust.com`
+ **CRL**

  `http://crl.?????.amazontrust.com/?????.crl`

  `http://crl.*.amazontrust.com/*.crl`
Um asterisco (\*) representa um ou mais caracteres alfanuméricos, um ponto de interrogação (?) representa um único caractere alfanumérico e um símbolo do jogo da velha (\#) representa um número.

**Algoritmos-chave**  <a name="algorithms-term"></a>
Os certificados devem especificar um algoritmo e um tamanho de chave. O ACM oferece suporte aos seguintes algoritmos de chave pública RSA e ECDSA:  
+ RSA de 1024 bits (`RSA_1024`)
+ RSA de 2048 bits (`RSA_2048`)\*
+ RSA de 3072 bits (`RSA_3072`)
+ RSA de 4096 bits (`RSA_4096`)
+ ECDSA de 256 bits (`EC_prime256v1`)\*
+ ECDSA de 384 bits (`EC_secp384r1`)\*
+ ECDSA de 521 bits (`EC_secp521r1`)
O ACM pode solicitar novos certificados usando os algoritmos marcados com um asterisco (\*). Os outros algoritmos são somente para certificados [importados](import-certificate.md).  
Para certificados PKI privados assinados por uma CA Privada da AWS CA, a família de algoritmos de assinatura (RSA ou ECDSA) deve corresponder à família de algoritmos de chave secreta da CA.
As chaves ECDSA são menores e mais eficientes computacionalmente do que as chaves RSA de segurança comparável, mas nem todos os clientes de rede oferecem suporte ao ECDSA. Esta tabela, adaptada do [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf), compara os tamanhos das chaves RSA e ECDSA (em bits) para obter força de segurança equivalente:    
**Comparando segurança para algoritmos e chaves**    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/acm/latest/userguide/acm-certificate-characteristics.html)
A força de segurança, como uma potência de 2, está relacionada ao número de tentativas necessárias para quebrar a criptografia. Por exemplo, uma chave RSA de 3072 bits e uma chave ECDSA de 256 bits podem ser recuperadas com não mais de 2.128 suposições.  
Para obter ajuda na escolha de um algoritmo, consulte a postagem do AWS blog [Como avaliar e usar certificados ECDSA em](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager  
Os [Serviços integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) só permitem os algoritmos e tamanhos de chave com suporte para seus recursos. O suporte varia dependendo de o certificado ser importado para o IAM ou para o ACM. Para obter detalhes, consulte a documentação de cada serviço:  
+ Para o Elastic Load Balancing, consulte [ Listeners HTTPS para seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ Para isso CloudFront, consulte [ SSL/TLS Protocolos e cifras compatíveis](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html).

**Renovação e implantação gerenciadas**  <a name="renewal-term"></a>
O ACM gerencia a renovação e o provisionamento dos certificados correspondentes. A renovação automática ajuda a evitar tempo de inatividade devido a certificados com erros de configuração, revogados ou expirados. Para obter mais informações, consulte [Renovação gerenciada do certificado em AWS Certificate Manager](managed-renewal.md).

**Vários nomes de domínio**  <a name="multiple-domains-term"></a>
Cada certificado do ACM deve incluir pelo menos um nome de domínio totalmente qualificado (FQDN) e pode incluir mais nomes. Por exemplo, um certificado para `www.example.com` também pode incluir `www.example.net`. Isso também se aplica a domínios simples (ápex da zona ou domínios nus). Você pode solicitar um certificado para www.example.com e incluir example.com. Para obter mais informações, consulte [AWS Certificate Managercertificados públicos](gs-acm-request-public.md).

**Punycode**  <a name="punycode-term"></a>
Os requisitos de [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) a seguir para [Nomes de domínio internacionalizados](https://www.icann.org/resources/pages/idn-2012-02-25-en) devem ser atendidos:  

1. Nomes de domínio que comecem com o padrão “<character><character>--” devem corresponder a “xn--”.

1. Nomes de domínio que comecem com “xn--” também devem ser nomes de domínio internacionalizado válidos.  
**Exemplos de Punycode**    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/acm/latest/userguide/acm-certificate-characteristics.html)

**Período de validade**  <a name="validity-term"></a>
Os certificados ACM são válidos por 198 dias.

**Nomes curinga**  <a name="wildcard-term"></a>
O ACM permite um asterisco (\*) no nome de domínio para criar um certificado curinga para proteger vários sites no mesmo domínio. Por exemplo, `*.example.com` protege `www.example.com` e `images.example.com`.  
Em um certificado curinga, o asterisco (`*`) deve estar na posição mais à esquerda do nome do domínio e só protege um nível de subdomínio. Por exemplo, `*.example.com` protege `login.example.com` e `test.example.com`, mas não `test.login.example.com`. Além disso, `*.example.com` protege *apenas* os subdomínios, não o domínio vazio ou apex (`example.com`). É possível solicitar um certificado para um domínio vazio e seus subdomínios especificando vários nomes de domínio, como `example.com` e `*.example.com`.  
Se você usa CloudFront, observe que a validação HTTP não oferece suporte a certificados curinga. Para certificados curingas, você deve usar a validação por DNS ou a validação por e-mail. É recomendável a validação por DNS porque ela oferece suporte à renovação automática do certificado.