4. acme-tls/1 Protocol Definition (acme-tls/1 协议定义)

acme-tls/1 协议必须仅用于验证 ACME tls-alpn-01 质询. 该协议由传输所需验证信息的 TLS 握手组成. acme-tls/1 协议不承载应用数据. 握手一旦完成, 客户端不得再与服务器交换任何数据, 并必须立即关闭连接. 虽然该协议使用 X.509 证书, 但它不使用 [RFC5280] 所述的身份验证方法, 因此既不要求所提供证书上的签名有效, 也不要求 TLS 握手成功完成. ACME 服务器可能希望使用现成的 TLS 协议栈, 而在其中不易允许协议所定义的上述偏离. 因此, 若证书签名无效或握手未完全完成, ACME 服务器可以选择不予授权.

实现 acme-tls/1 的 ACME 服务器在为验证而连接客户端时, 必须仅协商 TLS 1.2 [RFC5246] 或更高版本.