bg-blog-articles

Cos’è il protocollo ACME? Guida alla gestione automatizzata dei certificati

I certificati SSL/TLS garantiscono la sicurezza del tuo sito web e dei tuoi servizi, ma gestirli manualmente è noioso e rischioso. È qui che entra in gioco il protocollo ACME.

Acronimo di Automated Certificate Management Environment, ACME automatizza l’emissione, il rinnovo e la revoca dei certificati, eliminando il lavoro manuale e riducendo la possibilità che i certificati scaduti mettano offline il tuo sito.

Cos'è il protocollo ACME

Originariamente sviluppato dall’Internet Security Research Group (ISRG) per Let’s Encrypt, ACME è diventato uno standard di settore che funziona con diverse autorità di certificazione ed è ora utilizzato da organizzazioni di tutto il mondo.

Questo cambiamento sta diventando sempre più importante in quanto la durata dei certificati continua a ridursi. La validità massima passa a 200 giorni dal marzo 2026, scende a 100 giorni dal marzo 2027 e arriva a soli 47 giorni dal 15 marzo 2029. A quel punto, la gestione manuale dei certificati non sarà più praticabile su qualsiasi scala.


Indice dei contenuti

  1. Che cos’è ACME?
  2. Come funziona il protocollo ACME
  3. Tipi di certificati supportati da ACME
  4. Vantaggi dell’utilizzo di ACME
  5. Impostazione di un client ACME
  6. ACME vs. altri protocolli di iscrizione

Save 10% on SSL Certificates when ordering from SSL Dragon today!

Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10

A detailed image of a dragon in flight

Che cos’è il protocollo ACME?

Il protocollo ACME, o Automated Certificate Management Environment, automatizza l’intero ciclo di vita dei certificati SSL/TLS. Elimina i passaggi manuali utilizzando una comunicazione standardizzata tra i client ACME e le autorità di certificazione per gestire l’emissione, la convalida, l’installazione, il rinnovo e la revoca.

Il protocollo utilizza un’architettura client-server in cui un client ACME (installato sul tuo server) comunica con un server ACME (gestito da un’autorità di certificazione) per richiedere, convalidare e gestire i certificati senza alcun intervento umano. Questa automazione evita i certificati scaduti, riduce i rischi per la sicurezza e libera i team IT da attività manuali ripetitive.

L’evoluzione del protocollo ACME

L’Internet Security Research Group ha creato ACME appositamente per Let’s Encrypt, l’autorità di certificazione pubblica gratuita lanciata nel 2015. La prima versione, ACME v1, è uscita nel 2016 e ha dimostrato che il concetto funziona su scala.

Nel 2018 è arrivata ACME v2 con importanti miglioramenti. Ha aggiunto il supporto per certificati wildcard (che coprono tutti i sottodomini di un dominio) e ha introdotto la convalida DNS TXT per una maggiore sicurezza. ACME v2 è diventato lo standard ufficiale quando l’IETF ha pubblicato l’RFC 8555 e ACME v1 è stato eliminato nel 2021.

Poiché ACME è open-source, è stato adottato dalle autorità di certificazione pubbliche e dai fornitori di PKI di tutto il settore. Non sei vincolato a un’unica CA: puoi scegliere tra più fornitori o passare da uno all’altro quando le tue esigenze cambiano. Questa flessibilità è uno dei motivi per cui ACME è diventato il protocollo di riferimento per la gestione automatizzata dei certificati.


Come funziona il protocollo ACME

ACME utilizza un modello client-server. Un client ACME viene eseguito sul tuo server o dispositivo e comunica con un server ACME gestito da un’autorità di certificazione. L’intero scambio utilizza messaggi JSON inviati tramite HTTPS, quindi è sicuro e standardizzato.

Ecco il flusso di lavoro di base:

  1. Seleziona il tuo agente e il tuo dominio. Installa un client ACME (come Certbot o Caddy) sul tuo server e indicagli il dominio che vuoi proteggere.
  2. Scegli una CA. Indirizza il tuo client verso un’autorità di certificazione compatibile con ACME: Digicert, Sectigo o qualsiasi altra CA che supporti il protocollo.
  3. Genera una coppia di chiavi e un CSR. Il client crea una chiave privata e una richiesta di firma del certificato (CSR) con le informazioni del tuo dominio.
  4. Dimostra il controllo del dominio. La CA ti sfida a dimostrare di controllare il dominio. Puoi rispondere con una sfida HTTP-01 (inserendo un file sul tuo server web) o una sfida DNS-01 (aggiungendo un record TXT al tuo DNS).
  5. Firma un nonce. Il cliente firma un nonce unico (un valore casuale una tantum) con la tua chiave privata per dimostrare l’autenticità.
  6. Ricevi il tuo certificato. La CA verifica tutto e rilascia il tuo certificato certificato X.509. Il certificato viene consegnato al client ACME e installato automaticamente.

Il rinnovo e la revoca seguono lo stesso processo. Il cliente può richiedere un nuovo certificato prima della scadenza di quello vecchio o revocare un certificato compromesso, il tutto senza alcun intervento manuale.


Tipi di certificati supportati da ACME

ACME rilascia principalmente certificati DV (Domain Validated), che verificano solo il controllo del dominio. Sono i più veloci da emettere e funzionano bene per la maggior parte dei siti web e dei servizi.

I certificati OV (Organization-Validated) e EV (Extended Validation) richiedono ulteriori prove, come la documentazione aziendale, per confermare l’identità della tua organizzazione. ACME può supportare i certificati OV ed EV, ma dovrai aggiungere delle fasi di verifica manuale perché il protocollo stesso non gestisce la convalida aziendale. Alcune CA offrono flussi di lavoro ibridi che combinano l’automazione di ACME con la revisione umana per certificati di maggiore sicurezza.

I certificati wildcard meritano una menzione speciale. ACME v2 ha aggiunto il supporto nativo per i certificati wildcard, che proteggono tutti i sottodomini di un dominio (come *.example.com). Per emettere un certificato wildcard, devi completare una sfida DNS-01 – aggiungendo un record TXT alla tua zona DNS – perché le sfide HTTP non possono dimostrare il controllo su tutti i possibili sottodomini. Questa convalida DNS aggiunge un livello di sicurezza e rende i certificati wildcard più affidabili.


Save 10% on SSL Certificates when ordering from SSL Dragon today!

Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10

A detailed image of a dragon in flight

Vantaggi dell’utilizzo di ACME

  • L‘automazione elimina il lavoro manuale. La gestione manuale dei certificati è lenta e soggetta a errori. ACME automatizza ogni fase – emissione, installazione, rinnovo e revoca – in modo che tu non debba generare CSR, copiare e incollare certificati ACME o impostare promemoria sul calendario. L’automazione riduce gli errori umani e permette al tuo team di concentrarsi su attività più importanti.
  • Maggiore sicurezza grazie al rinnovo automatico. I certificati scaduti causano interruzioni e avvisi di sicurezza. ACME offre una maggiore sicurezza grazie al rinnovo automatico dei certificati prima della loro scadenza, così non dovrai preoccuparti di dimenticare la scadenza del rinnovo. In questo modo i tuoi servizi sono sempre online e i tuoi utenti sono al sicuro.
  • Risparmio sui costi e migliore visibilità. Molte CA compatibili con ACME, come Let’s Encrypt, offrono certificati DV gratuiti. Anche se utilizzi una CA commerciale, l’automazione riduce i costi di gestione dei certificati ACME. Inoltre, quando integri ACME con una piattaforma di gestione dei certificati, ottieni una visione centralizzata di tutti i tuoi certificati – date di scadenza, stato di emissione ed eventi del ciclo di vita – in modo che nulla vada perso.
  • Agilità di CA. Lo standard aperto di ACME significa che non sei vincolato a un unico fornitore. Se la tua CA ha un’interruzione o vuoi cambiare fornitore, puoi puntare il tuo client ACME a una CA diversa senza riscrivere la tua automazione. Questo approccio CA-agnostico ti dà flessibilità e ti aiuta a evitare il vendor lock-in.
  • Open-Source e accessibile. ACME è un protocollo aperto senza costi di licenza. Chiunque può implementare un client o un server ACME ed esiste un fiorente ecosistema di strumenti. Questa apertura incoraggia l’innovazione e rende la gestione automatizzata dei certificati accessibile a organizzazioni di ogni dimensione.

Tutti questi vantaggi si traducono in un minor numero di interruzioni, una migliore conformità e un’infrastruttura più sicura. ACME trasforma la gestione dei certificati da un grattacapo ricorrente a un’attività in background che funziona e basta.


Impostazione di un client ACME

Iniziare a lavorare con ACME è semplice. Ecco una guida passo passo:

1. Scegli un client ACME compatibile e specifica il tuo dominio.
Scegli un client ACME che funzioni con il tuo ambiente. Le opzioni più diffuse sono:

  • Certbot – il client più diffuso, gestito dalla Electronic Frontier Foundation.
  • Caddy – un server web con supporto ACME integrato
  • ACMESharp – un modulo PowerShell per gli ambienti Windows
  • GetSSL – un semplice script bash per i sistemi Unix-like
  • Posh-ACME – un’altra opzione PowerShell con funzioni avanzate

Indica al cliente il dominio (o i domini) che vuoi proteggere.

2. Seleziona una CA compatibile con il tuo client.
Punta il tuo client su un server ACME. Let’s Encrypt è la scelta più comune, ma anche Sectigo, Keyfactor e altre CA commerciali offrono endpoint ACME. Assicurati di utilizzare un server compatibile con ACME v2 – ACME v1 è deprecato.

3. Generare una coppia di chiavi di autorizzazione.
Il client crea una chiave privata e la utilizza per generare una richiesta di firma del certificato. Il processo di generazione della coppia di chiavi è gestito automaticamente dal client ACME. Tieni al sicuro la tua chiave privata:è il fondamento dell’affidabilità del tuo certificato.

4. Risolvi una sfida per dimostrare il controllo del dominio.
A seconda della tua configurazione, dovrai completare una sfida HTTP-01 (ospitare un file sul tuo server web) o una sfida DNS-01 (aggiungere un record TXT al tuo DNS). Per i certificati wildcard, il DNS-01 è necessario. Di solito il client gestisce questa operazione automaticamente se dispone di un accesso API al tuo provider DNS.

5. Firma il nonce con la tua chiave privata.
La CA invia un nonce unico e il cliente lo firma con la tua chiave privata. Questo dimostra che sei tu a controllare la coppia di chiavi e previene gli attacchi di replay.

6. Iniziare a emettere, rinnovare e revocare automaticamente i certificati.
Una volta che la CA verifica le tue risposte, emette il tuo certificato ACME. Il cliente lo installa e imposta il rinnovo automatico. Da questo momento in poi, i certificati si aggiornano in background senza alcun intervento manuale.

Suggerimento: scegli ACME v2, che è lo standard attuale e offre sicurezza e funzioni migliori. ACME v1 non è più supportato dalla maggior parte delle CA.


ACME vs. altri protocolli di iscrizione

ACME non è l’unico protocollo per automatizzare l’iscrizione dei certificati. Esistono anche due protocolli più vecchi: SCEP (Simple Certificate Enrollment Protocol) e EST (Enrollment over Secure Transport), ma ognuno di essi presenta delle limitazioni.

SCEP automatizza l’emissione iniziale dei certificati ed è molto utilizzato per l’iscrizione dei dispositivi negli ambienti aziendali. Tuttavia, SCEP non gestisce bene la revoca o il rinnovo, per cui sono necessari strumenti aggiuntivi o processi manuali per gestire l’intero ciclo di vita del certificato. Si tratta di un protocollo vecchio che precede le moderne esigenze di automazione.

EST è uno standard più recente che automatizza l’iscrizione e il rinnovo, ma non ha raggiunto lo stesso livello di adozione di ACME. Un numero minore di CA e di clienti supporta EST, il che limita la sua utilità nelle implementazioni reali.

ACME si distingue perché gestisce l’intero ciclo di vita – emissione, rinnovo e revoca – in un unico protocollo. È guidato dalla comunità, documentato apertamente nella RFC 8555 e supportato da un’ampia gamma di autorità di certificazione e strumenti open-source. Per la maggior parte delle organizzazioni, la combinazione di automazione, flessibilità e supporto dell’ecosistema di ACME lo rende la scelta preferita.


Migliori pratiche e considerazioni

  • Usa ACME v2 e tieniti aggiornato sull’RFC 8555. ACME v1 è deprecato. Assicurati che i tuoi client e server supportino ACME v2 e tieni aggiornati i tuoi strumenti per beneficiare dei miglioramenti della sicurezza e delle nuove funzionalità.
  • Preferisci le sfide DNS-01 per i certificati wildcard. Se hai bisogno di proteggere tutti i sottodomini di un dominio, utilizza un certificato wildcard con convalida DNS-01. Le sfide HTTP-01 non possono dimostrare il controllo su tutti i possibili sottodomini, quindi il DNS è l’unica opzione. Automatizza questa operazione dando al tuo client ACME l’accesso API al tuo provider DNS.
  • Mantenere un CA di backup per la resilienza. L’agilità di CA è uno dei punti di forza di ACME. Configura la tua automazione in modo da passare a una CA secondaria se la CA principale subisce un’interruzione. In questo modo si garantisce l’emissione continua di certificati anche se uno dei due provider ha dei problemi.
  • Integrare ACME con una piattaforma di gestione dei certificati. Per le implementazioni più grandi, collega l’automazione ACME a una piattaforma come Keyfactor, AppViewX o CyberArk. Questi strumenti ti danno visibilità su tutti i tuoi certificati, ti aiutano a far rispettare le policy e rendono più semplice la verifica della tua infrastruttura.
  • Proteggi le tue chiavi private. Anche con l’automazione, la sicurezza è importante. Memorizza le chiavi private nei moduli di sicurezza hardware (HSM) o utilizza metodi di attestazione dei dispositivi (come Secure Enclave di Apple) per ambienti ad alta sicurezza. Strumenti come Dynamic PKI with Cloud RADIUS di SecureW2 possono aiutare a integrare l’identità del dispositivo nei flussi di lavoro dei certificati.
  • Controlla le date di scadenza dei certificati. L’automazione è affidabile, ma non è infallibile. Imposta degli avvisi che ti segnalino se un certificato si sta avvicinando alla scadenza senza essere stato rinnovato. In questo modo avrai una rete di sicurezza nel caso in cui qualcosa vada storto con la tua automazione.

Sei pronto ad automatizzare il tuo ciclo di vita dei certificati?

Smetti di preoccuparti dei certificati scaduti e dei rinnovi manuali. SSL Dragon offre certificati SSL compatibili con ACME di autorità affidabili come Sectigo e DigiCert, a partire dasoli 25 dollari all’anno. Ottenete l’emissione, il rinnovo e la gestione automatica con riemissioni illimitate, una copertura di garanzia di oltre 500.000 dollari e un’assistenza tecnica 24 ore su 24, 7 giorni su 7.

Che tu abbia bisogno di certificati Domain Validated (DV), Organization-Validated (OV) o Extended Validation (EV), le nostre soluzioni ACME si integrano perfettamente con client popolari come Certbot, acme.sh e altri.

Esplora i certificati SSL ACME

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.