bg-blog-articles

Qu’est-ce que le protocole ACME ? Guide de gestion automatisée des certificats

Les certificats SSL/TLS assurent la sécurité de votre site web et de vos services, mais leur gestion manuelle est fastidieuse et risquée. C’est là qu’intervient le protocole ACME.

ACME (Automated Certificate Management Environment) automatise l’émission, le renouvellement et la révocation des certificats, éliminant ainsi le travail manuel et réduisant le risque que des certificats expirés mettent votre site hors ligne.

Qu'est-ce que le protocole ACME ?

Développé à l’origine par l’Internet Security Research Group (ISRG) pour Let’s Encrypt, ACME est devenu une norme industrielle qui fonctionne avec plusieurs autorités de certification et qui est maintenant utilisée par des organisations du monde entier.

Cette évolution est d’autant plus importante que la durée de vie des certificats continue de se réduire. La validité maximale passe à 200 jours à partir de mars 2026, tombe à 100 jours à partir de mars 2027 et n’est plus que de 47 jours à partir du 15 mars 2029. À ce stade, la gestion manuelle des certificats n’est plus pratique, quelle que soit l’échelle.


Table des matières

  1. Qu’est-ce que l’ACME ?
  2. Fonctionnement du protocole ACME
  3. Types de certificats pris en charge par l’ACME
  4. Avantages de l’utilisation de l’ACME
  5. Configuration d’un client ACME
  6. ACME par rapport à d’autres protocoles d’inscription

Economisez 10% sur les certificats SSL en commandant chez SSL Dragon aujourd’hui !

Délivrance rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon : SAVE10

Image détaillée d'un dragon en vol

Qu’est-ce que le protocole ACME ?

Le protocole ACME( Automated Certificate Management Environment) automatise le cycle de vie complet des certificats SSL/TLS. Il élimine les étapes manuelles en utilisant une communication standardisée entre les clients ACME et les autorités de certification pour gérer l’émission, la validation, l’installation, le renouvellement et la révocation.

Le protocole utilise une architecture client-serveur dans laquelle un client ACME (installé sur votre serveur) communique avec un serveur ACME (géré par une autorité de certification) pour demander, valider et gérer des certificats sans intervention humaine. Cette automatisation permet d’éviter les certificats expirés, de réduire les risques de sécurité et de libérer les équipes informatiques des tâches manuelles répétitives.

L’évolution du protocole ACME

L’Internet Security Research Group a créé ACME spécifiquement pour Let’s Encrypt, l’autorité de certification publique gratuite lancée en 2015. La première version, ACME v1, est sortie en 2016 et a prouvé que le concept fonctionnait à grande échelle.

En 2018, ACME v2 est arrivé avec d’importantes améliorations. Il a ajouté la prise en charge des certificats de type « wildcard » (qui couvrent tous les sous-domaines d’un domaine) (qui couvrent tous les sous-domaines d’un domaine) et introduit la validation DNS TXT pour une sécurité renforcée. ACME v2 est devenu la norme officielle lorsque l’IETF a publié le RFC 8555, et ACME v1 a été progressivement abandonné en 2021.

ACME étant un logiciel libre, il a été adopté par les autorités de certification publiques et les fournisseurs d’ICP de l’ensemble du secteur. Vous n’êtes pas lié à une seule autorité de certification : vous pouvez choisir parmi plusieurs fournisseurs ou passer de l’un à l’autre en fonction de l’évolution de vos besoins. Cette flexibilité est l’une des raisons pour lesquelles ACME est devenu le protocole de référence pour la gestion automatisée des certificats.


Fonctionnement du protocole ACME

ACME utilise un modèle client-serveur. Un client ACME s’exécute sur votre serveur ou votre appareil et communique avec un serveur ACME géré par une autorité de certification. L’ensemble de l’échange utilise des messages JSON envoyés par HTTPS, ce qui le rend à la fois sécurisé et standardisé.

Voici le processus de base :

  1. Sélectionnez votre agent et votre domaine. Vous installez un client ACME (comme Certbot ou Caddy) sur votre serveur et lui indiquez le domaine que vous souhaitez sécuriser.
  2. Choisissez une autorité de certification. Orientez votre client vers une autorité de certification compatible avec ACME – DigiCert, Sectigo ou toute autre autorité de certification prenant en charge le protocole.
  3. Générer une paire de clés et une CSR. Le client crée une clé privée et une demande de signature de certificat (CSR) avec les informations relatives à votre domaine.
  4. Prouvez le contrôle du domaine. L’autorité de certification vous demande de prouver que vous contrôlez le domaine. Vous pouvez répondre par un défi HTTP-01 (en plaçant un fichier sur votre serveur web) ou un défi DNS-01 (en ajoutant un enregistrement TXT à votre DNS).
  5. Signer un nonce. Le client signe un nonce unique (une valeur aléatoire à usage unique) avec votre clé privée pour prouver l’authenticité.
  6. Recevez votre certificat. L’autorité de certification vérifie tout et émet votre certificat X.509. Le certificat est livré au client ACME et installé automatiquement.

Le renouvellement et la révocation suivent le même processus. Le client peut demander un nouveau certificat avant l’expiration de l’ancien ou révoquer un certificat compromis, le tout sans intervention manuelle.


Types de certificats pris en charge par l’ACME

ACME émet principalement des certificats Domain Validated (DV), qui vérifient uniquement que vous contrôlez le domaine. Ces certificats sont les plus rapides à émettre et fonctionnent bien pour la plupart des sites web et des services.

Les certificats OV (Organization-Validated) et EV (Extended Validation) nécessitent des preuves supplémentaires, telles que des documents commerciaux, pour confirmer l’identité de votre organisation. ACME peut prendre en charge les certificats OV et EV, mais vous devrez ajouter des étapes de vérification manuelle car le protocole lui-même ne gère pas la validation commerciale. Certaines autorités de certification proposent des flux de travail hybrides qui combinent l’automatisation de l’ACME et l’examen humain pour les certificats à plus haut niveau d’assurance.

Les certificats Wildcard méritent une mention spéciale. ACME v2 a ajouté un support natif pour les wildcards, qui sécurisent tous les sous-domaines d’un domaine (comme *.example.com). Pour émettre un certificat wildcard, vous devez réaliser un challenge DNS-01 – en ajoutant un enregistrement TXT à votre zone DNS – car les challenges HTTP ne peuvent pas prouver le contrôle de tous les sous-domaines possibles. Cette validation DNS ajoute une couche de sécurité et rend les certificats Wildcard plus fiables.


Economisez 10% sur les certificats SSL en commandant chez SSL Dragon aujourd’hui !

Délivrance rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon : SAVE10

Image détaillée d'un dragon en vol

Avantages de l’utilisation de l’ACME

  • L‘automatisation élimine le travail manuel. La gestion manuelle des certificats est lente et sujette aux erreurs. ACME automatise chaque étape (émission, installation, renouvellement et révocation) afin que vous n’ayez pas à générer des CSR, à copier-coller des certificats ACME ou à définir des rappels de calendrier. Cette automatisation réduit les erreurs humaines et permet à votre équipe de se concentrer sur des tâches plus importantes.
  • Sécurité améliorée grâce au renouvellement automatique. Les certificats expirés provoquent des pannes et des avertissements de sécurité. ACME offre une sécurité accrue en renouvelant automatiquement les certificats avant qu’ils n’expirent, de sorte que vous n’avez pas à vous soucier d’oublier une date limite de renouvellement. Vos services restent ainsi en ligne et vos utilisateurs en sécurité.
  • Réduction des coûts et meilleure visibilité. De nombreuses autorités de certification compatibles avec ACME, comme Let’s Encrypt, proposent des certificats DV gratuits. Même si vous utilisez une AC commerciale, l’automatisation réduit les coûts de main-d’œuvre liés à la gestion des certificats ACME. De plus, lorsque vous intégrez ACME à une plateforme de gestion des certificats, vous bénéficiez d’une vue centralisée de tous vos certificats – dates d’expiration, statut d’émission et événements du cycle de vie – afin que rien ne passe inaperçu.
  • Agilité de CA. La norme ouverte d’ACME signifie que vous n’êtes pas lié à un seul fournisseur. Si votre autorité de certification est en panne ou si vous souhaitez changer de fournisseur, vous pouvez diriger votre client ACME vers une autre autorité de certification sans avoir à réécrire votre automatisation. Cette approche agnostique de l’AC vous donne de la flexibilité et vous aide à éviter l’enfermement dans un fournisseur.
  • Open-Source et accessible. ACME est un protocole ouvert sans frais de licence. Tout le monde peut mettre en œuvre un client ou un serveur ACME, et il existe un écosystème florissant d’outils. Cette ouverture encourage l’innovation et met la gestion automatisée des certificats à la disposition des organisations de toutes tailles.

Tous ces avantages se traduisent par une réduction des pannes, une meilleure conformité et une infrastructure plus sûre. Avec ACME, la gestion des certificats n’est plus un casse-tête récurrent, mais une tâche d’arrière-plan qui fonctionne.


Configuration d’un client ACME

La mise en route d’ACME est simple. Voici un guide étape par étape :

1. Choisissez un client ACME compatible et spécifiez votre domaine.
Choisissez un client ACME compatible avec votre environnement. Les options les plus courantes sont les suivantes :

  • Certbot – le client le plus répandu, géré par l’Electronic Frontier Foundation
  • Caddy – un serveur web avec support ACME intégré
  • ACMESharp – un module PowerShell pour les environnements Windows
  • GetSSL – un simple script bash pour les systèmes de type Unix
  • Posh-ACME – une autre option PowerShell avec des fonctionnalités avancées

Indiquez au client le ou les domaines que vous souhaitez sécuriser.

2. Sélectionnez une autorité de certification compatible avec votre client.
Pointez votre client vers un serveur ACME. Let’s Encrypt est le choix le plus courant, mais Sectigo, Keyfactor et d’autres autorités de certification commerciales proposent également des points de terminaison ACME. Assurez-vous d’utiliser un serveur compatible avec ACME v2 – ACME v1 est obsolète.

3. Générez une paire de clés d’autorisation.
Le client crée une clé privée et l’utilise pour générer une demande de signature de certificat. Le processus de génération de la paire de clés est géré automatiquement par le client ACME. Conservez votre clé privée en toute sécurité : c‘est la base de la fiabilité de votre certificat.

4. Résolvez un défi pour prouver le contrôle du domaine.
Selon votre configuration, vous devrez relever un défi HTTP-01 (hébergement d’un fichier sur votre serveur web) ou un défi DNS-01 (ajout d’un enregistrement TXT à votre DNS). Pour les certificats de type « wildcard », le DNS-01 est nécessaire. Le client s’en charge généralement automatiquement s’il dispose d’un accès API à votre fournisseur DNS.

5. Signez le nonce avec votre clé privée.
L’autorité de certification envoie un nonce unique et le client le signe avec votre clé privée. Cela prouve que vous contrôlez la paire de clés et empêche les attaques par rejeu.

6. Commencez à émettre, renouveler et révoquer des certificats automatiquement.
Une fois que l’autorité de certification a vérifié vos réponses, elle émet votre certificat ACME. Le client l’installe et configure le renouvellement automatique. À partir de ce moment, les certificats sont actualisés en arrière-plan sans intervention manuelle.

Conseil : optez pour ACME v2, qui est la norme actuelle et offre une meilleure sécurité et de meilleures fonctionnalités. L’ACME v1 n’est plus pris en charge par la plupart des autorités de certification.


ACME par rapport à d’autres protocoles d’inscription

ACME n’est pas le seul protocole permettant d’automatiser l’enrôlement des certificats. Deux protocoles plus anciens – SCEP (Simple Certificate Enrollment Protocol) et EST (Enrollment over Secure Transport) – existent également, mais ils présentent tous deux des limites.

SCEP automatise l’émission initiale de certificats et est largement utilisé pour l’enrôlement de périphériques dans les environnements d’entreprise. Mais SCEP ne gère pas bien la révocation ou le renouvellement, de sorte que vous avez besoin d’outils supplémentaires ou de processus manuels pour gérer l’ensemble du cycle de vie des certificats. Il s’agit d’un protocole plus ancien qui précède les besoins d’automatisation modernes.

EST est une norme plus récente qui automatise l’inscription et le renouvellement, mais elle n’a pas atteint le même niveau d’adoption qu’ACME. Moins d’autorités de certification et de clients prennent en charge EST, ce qui limite son utilité dans les déploiements réels.

ACME se distingue par le fait qu’il gère l’ensemble du cycle de vie – émission, renouvellement et révocation – en un seul protocole. Il est piloté par la communauté, ouvertement documenté dans la RFC 8555 et pris en charge par un large éventail d’autorités de certification et d’outils open-source. Pour la plupart des organisations, la combinaison de l’automatisation, de la flexibilité et du support de l’écosystème fait d’ACME le choix privilégié.


Bonnes pratiques et considérations

  • Utilisez ACME v2 et tenez-vous au courant de la RFC 8555. ACME v1 est obsolète. Assurez-vous que vos clients et vos serveurs prennent en charge ACME v2 et mettez vos outils à jour pour bénéficier des améliorations de sécurité et des nouvelles fonctionnalités.
  • Préférez les défis DNS-01 pour les certificats de type « wildcard ». Si vous devez sécuriser tous les sous-domaines d’un domaine, utilisez un certificat générique avec validation DNS-01. Les défis HTTP-01 ne peuvent pas prouver le contrôle de tous les sous-domaines possibles, le DNS est donc la seule option. Automatisez cette opération en donnant à votre client ACME un accès API à votre fournisseur DNS.
  • Conservez une autorité de certification de secours pour assurer la résilience du système. L’agilité de CA est l’une des forces d’ACME. Configurez votre automatisation pour qu’elle bascule sur une autorité de certification secondaire en cas de panne de votre autorité de certification principale. Cela permet de garantir la continuité de l’émission des certificats, même si un fournisseur rencontre des problèmes.
  • Intégrer ACME à une plateforme de gestion des certificats. Pour les déploiements plus importants, connectez votre automatisation ACME à une plateforme telle que Keyfactor, AppViewX ou CyberArk. Ces outils vous donnent une visibilité sur tous vos certificats, vous aident à mettre en œuvre des politiques et facilitent l’audit de votre infrastructure.
  • Sécurisez vos clés privées. Même avec l’automatisation, la sécurité est importante. Stockez les clés privées dans des modules de sécurité matériels (HSM) ou utilisez des méthodes d’attestation des appareils (comme Secure Enclave d’Apple) pour les environnements à haut niveau d’assurance. Des outils tels que Dynamic PKI with Cloud RADIUS de SecureW2 peuvent vous aider à intégrer l’identité des appareils dans vos flux de certificats.
  • Surveillez les dates d’expiration des certificats. L’automatisation est fiable, mais elle n’est pas infaillible. Mettez en place des alertes pour vous avertir si un certificat arrive à expiration sans avoir été renouvelé. Vous disposez ainsi d’un filet de sécurité en cas de problème avec votre système d’automatisation.

Prêt à automatiser le cycle de vie de vos certificats ?

Ne vous souciez plus des certificats expirés et des renouvellements manuels. SSL Dragon offre des certificats SSL compatibles avec ACME provenant d’autorités de confiance telles que Sectigo et DigiCert, à partir deseulement 25 $ par année. Vous bénéficiez d’une émission, d’un renouvellement et d’une gestion automatiques, d’un nombre illimité de rééditions, d’une garantie de plus de 500 000 $ et d’une assistance technique 24 heures sur 24, 7 jours sur 7.

Que vous ayez besoin de certificats Domain Validated (DV), Organization-Validated (OV) ou Extended Validation (EV), nos solutions ACME s’intègrent parfaitement avec des clients populaires tels que Certbot, acme.sh, et bien d’autres.

Découvrez les certificats SSL d’ACME

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Image détaillée d'un dragon en vol
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.