bg-blog-articles

O que é o protocolo ACME? Guia de gerenciamento automatizado de certificados

Os certificados SSL/TLS mantêm seu site e seus serviços seguros, mas gerenciá-los manualmente é tedioso e arriscado. É aí que entra o protocolo ACME.

Abreviação de Automated Certificate Management Environment (Ambiente de gerenciamento automatizado de certificados), o ACME automatiza a emissão, a renovação e a revogação de certificados, eliminando o trabalho manual e reduzindo a chance de certificados expirados colocarem seu site off-line.

O que é o protocolo ACME?

Originalmente desenvolvido pelo Internet Security Research Group (ISRG) para a Let’s Encrypt, o ACME se tornou um padrão do setor que funciona com várias autoridades de certificação e agora é usado por organizações em todo o mundo.

Essa mudança está se tornando mais importante à medida que a vida útil dos certificados continua a diminuir. A validade máxima passou para 200 dias a partir de março de 2026, caiu para 100 dias a partir de março de 2027 e chegou a apenas 47 dias a partir de 15 de março de 2029. Nesse ponto, o gerenciamento manual de certificados não é mais prático em nenhuma escala.


Índice

  1. O que é ACME?
  2. Como funciona o protocolo ACME
  3. Tipos de certificados suportados pelo ACME
  4. Benefícios do uso do ACME
  5. Configuração de um cliente ACME
  6. ACME vs. outros protocolos de registro

Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo

O que é o protocolo ACME?

O protocolo ACME, ou Automated Certificate Management Environment, automatiza o ciclo de vida completo dos certificados SSL/TLS. Ele elimina as etapas manuais usando a comunicação padronizada entre os clientes ACME e as autoridades de certificação para gerenciar a emissão, a validação, a instalação, a renovação e a revogação.

O protocolo usa uma arquitetura cliente-servidor em que um cliente ACME (instalado no seu servidor) se comunica com um servidor ACME (operado por uma autoridade de certificação) para solicitar, validar e gerenciar certificados sem intervenção humana. Essa automação evita certificados expirados, reduz os riscos de segurança e libera as equipes de TI de tarefas manuais repetitivas.

A evolução do protocolo ACME

O Internet Security Research Group criou o ACME especificamente para o Let’s Encrypt, a autoridade de certificação pública gratuita lançada em 2015. A primeira versão, ACME v1, foi lançada em 2016 e provou que o conceito funcionava em escala.

Em 2018, o ACME v2 chegou com melhorias importantes. Ele adicionou suporte para certificados curinga (que abrangem todos os subdomínios em um domínio) e introduziu a validação de TXT do DNS para aumentar a segurança. O ACME v2 tornou-se o padrão oficial quando a IETF publicou a RFC 8555, e o ACME v1 foi descontinuado em 2021.

Como o ACME é de código aberto, ele foi adotado por autoridades públicas de certificação e fornecedores de PKI de todo o setor. Você não fica preso a uma única CA – pode escolher entre vários provedores ou alternar entre eles conforme suas necessidades mudam. Essa flexibilidade é um dos motivos pelos quais o ACME se tornou o protocolo de referência para o gerenciamento automatizado de certificados.


Como funciona o protocolo ACME

O ACME usa um modelo cliente-servidor. Um cliente ACME é executado em seu servidor ou dispositivo e se comunica com um servidor ACME operado por uma autoridade de certificação. Toda a troca usa mensagens JSON enviadas por HTTPS, portanto, é segura e padronizada.

Aqui está o fluxo de trabalho básico:

  1. Selecione seu agente e domínio. Você instala um cliente ACME (como o Certbot ou o Caddy) em seu servidor e informa a ele qual domínio deseja proteger.
  2. Escolha uma CA. Direcione seu cliente para uma autoridade de certificação compatível com ACME – DigiCert, Sectigo ou qualquer outra CA compatível com o protocolo.
  3. Gerar um par de chaves e CSR. O cliente cria uma chave privada e uma solicitação de assinatura de certificado (CSR) com as informações do seu domínio.
  4. Prove o controle do domínio. A CA desafia você a provar que controla o domínio. Você pode responder com um desafio HTTP-01 (colocando um arquivo no seu servidor da Web) ou um desafio DNS-01 (adicionando um registro TXT ao seu DNS).
  5. Assine um nonce. O cliente assina um nonce exclusivo (um valor aleatório único) com sua chave privada para provar a autenticidade.
  6. Receba seu certificado. A CA verifica tudo e emite seu certificado certificado X.509. O certificado é entregue ao cliente ACME e instalado automaticamente.

A renovação e a revogação seguem o mesmo processo. O cliente pode solicitar um novo certificado antes que o antigo expire ou revogar um certificado comprometido, tudo sem intervenção manual.


Tipos de certificados suportados pelo ACME

A ACME emite principalmente certificados Domain Validated (DV), que verificam apenas se você controla o domínio. Esses certificados são os mais rápidos de emitir e funcionam bem para a maioria dos sites e serviços.

Os certificados validados pela organização (OV) e de validação estendida (EV) exigem provas adicionais, como documentação comercial, para confirmar a identidade da sua organização. O ACME pode oferecer suporte a certificados OV e EV, mas você precisará incluir etapas de verificação manual porque o protocolo em si não lida com validação comercial. Algumas ACs oferecem fluxos de trabalho híbridos que combinam a automação do ACME com a revisão humana para certificados de maior garantia.

Os certificados curinga merecem uma menção especial. O ACME v2 adicionou suporte nativo a curingas, que protegem todos os subdomínios em um domínio (como *.example.com). Para emitir um certificado curinga, você deve concluir um desafio DNS-01 – adicionando um registro TXT à sua zona de DNS – porque os desafios HTTP não podem provar o controle sobre todos os subdomínios possíveis. Essa validação de DNS acrescenta uma camada de segurança e torna os certificados curinga mais confiáveis.


Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo

Benefícios do uso do ACME

  • A automação elimina o trabalho manual. O gerenciamento manual de certificados é lento e sujeito a erros. O ACME automatiza todas as etapas – emissão, instalação, renovação e revogação – para que você não precise gerar CSRs, copiar e colar certificados ACME ou definir lembretes de calendário. Essa automação reduz os erros humanos e libera a sua equipe para se concentrar em trabalhos mais importantes.
  • Segurança aprimorada por meio da renovação automática. Os certificados expirados causam interrupções e avisos de segurança. O ACME oferece segurança aprimorada ao renovar automaticamente os certificados antes que eles expirem, para que você não precise se preocupar com o esquecimento do prazo de renovação. Isso mantém os seus serviços on-line e os seus usuários seguros.
  • Economia de custos e melhor visibilidade. Muitas CAs compatíveis com o ACME, como a Let’s Encrypt, oferecem certificados DV gratuitos. Mesmo que você use uma AC comercial, a automação reduz o custo de mão de obra para gerenciar os certificados ACME. Além disso, quando você integra o ACME a uma plataforma de gerenciamento de certificados, obtém uma visão centralizada de todos os seus certificados – datas de validade, status de emissão e eventos do ciclo de vida – para que nada seja esquecido.
  • Agilidade da CA. O padrão aberto do ACME significa que você não está preso a um único fornecedor. Se a sua CA sofrer uma interrupção ou se você quiser trocar de provedor, poderá direcionar o seu cliente ACME para uma CA diferente sem reescrever a sua automação. Essa abordagem agnóstica de CA oferece flexibilidade e ajuda você a evitar a dependência de um fornecedor.
  • De código aberto e acessível. O ACME é um protocolo aberto, sem taxas de licenciamento. Qualquer pessoa pode implementar um cliente ou servidor ACME, e existe um próspero ecossistema de ferramentas. Essa abertura incentiva a inovação e torna o gerenciamento automatizado de certificados disponível para organizações de todos os portes.

Todos esses benefícios se traduzem em menos interrupções, melhor conformidade e uma infraestrutura mais segura. O ACME transforma o gerenciamento de certificados de uma dor de cabeça recorrente em uma tarefa em segundo plano que simplesmente funciona.


Configuração de um cliente ACME

Para começar a usar o ACME, você pode ir direto ao ponto. Aqui você encontra um guia passo a passo:

1. Escolha um cliente ACME compatível e especifique seu domínio.
Escolha um cliente ACME que funcione em seu ambiente. As opções mais populares incluem:

  • Certbot – o cliente mais amplamente usado, mantido pela Electronic Frontier Foundation
  • Caddy – um servidor da Web com suporte integrado ao ACME
  • ACMESharp – um módulo do PowerShell para ambientes Windows
  • GetSSL – um script bash simples para sistemas do tipo Unix
  • Posh-ACME – outra opção do PowerShell com recursos avançados

Informe ao cliente qual domínio (ou domínios) você deseja proteger.

2. Selecione uma CA compatível com seu cliente.
Aponte seu cliente para um servidor ACME. A Let’s Encrypt é a opção mais comum, mas a Sectigo, a Keyfactor e outras CAs comerciais também oferecem pontos de extremidade ACME. Certifique-se de que você esteja usando um servidor compatível com ACME v2 – o ACME v1 está obsoleto.

3. Gerar um par de autorização de chave.
O cliente cria uma chave privada e a usa para gerar uma solicitação de assinatura de certificado. Esse processo de geração de par de chaves é tratado automaticamente pelo cliente ACME. Mantenha sua chave privada segura – elaé a base da confiabilidade do seu certificado.

4. Resolva um desafio para comprovar o controle do domínio.
Dependendo da sua configuração, você concluirá um desafio HTTP-01 (hospedando um arquivo no seu servidor da Web) ou um desafio DNS-01 (adicionando um registro TXT ao seu DNS). Para certificados curinga, é necessário o DNS-01. Em geral, o cliente trata disso automaticamente se tiver acesso à API do seu provedor de DNS.

5. Assine o nonce com sua chave privada.
A CA envia um nonce exclusivo, e o cliente o assina com sua chave privada. Isso prova que você controla o par de chaves e evita ataques de repetição.

6. Comece a emitir, renovar e revogar certificados automaticamente.
Depois que a CA verificar suas respostas, ela emitirá o certificado ACME. O cliente o instala e configura a renovação automática. A partir desse momento, os certificados são atualizados em segundo plano, sem intervenção manual.

Dica: use o ACME v2, que é o padrão atual e oferece mais segurança e recursos. A ACME v1 não é mais suportada pela maioria das CAs.


ACME vs. outros protocolos de registro

O ACME não é o único protocolo para automatizar o registro de certificados. Existem também dois protocolos mais antigos, o SCEP (Simple Certificate Enrollment Protocol) e o EST (Enrollment over Secure Transport), mas cada um deles tem limitações.

O SCEP automatiza a emissão inicial de certificados e é amplamente utilizado para o registro de dispositivos em ambientes corporativos. Mas o SCEP não lida bem com revogação ou renovação, portanto, você precisa de ferramentas adicionais ou processos manuais para gerenciar o ciclo de vida completo do certificado. É um protocolo mais antigo que antecede as necessidades modernas de automação.

O EST é um padrão mais recente que automatiza o registro e a renovação, mas não alcançou o mesmo nível de adoção que o ACME. Menos CAs e clientes oferecem suporte ao EST, o que limita sua utilidade em implementações reais.

O ACME se destaca porque gerencia todo o ciclo de vida – emissão, renovação e revogação – em um único protocolo. Ele é orientado pela comunidade, documentado abertamente na RFC 8555 e suportado por uma ampla gama de autoridades de certificação e ferramentas de código aberto. Para a maioria das organizações, a combinação de automação, flexibilidade e suporte do ecossistema do ACME faz dele a escolha preferida.


Práticas recomendadas e considerações

  • Use o ACME v2 e mantenha-se atualizado com a RFC 8555. O ACME v1 está obsoleto. Certifique-se de que seus clientes e servidores sejam compatíveis com o ACME v2 e mantenha suas ferramentas atualizadas para se beneficiar das melhorias de segurança e dos novos recursos.
  • Prefira desafios DNS-01 para certificados curinga. Se você precisar proteger todos os subdomínios de um domínio, use um certificado curinga com validação DNS-01. Os desafios HTTP-01 não podem provar o controle sobre todos os subdomínios possíveis, portanto, o DNS é a única opção. Para automatizar isso, você pode conceder à API do cliente ACME acesso ao seu provedor de DNS.
  • Mantenha uma CA de backup para resiliência. A agilidade da CA é um dos pontos fortes da ACME. Configure sua automação para fazer o failover para uma CA secundária se a CA principal sofrer uma interrupção. Isso garante a emissão contínua de certificados, mesmo que um provedor tenha problemas.
  • Integrar o ACME a uma plataforma de gerenciamento de certificados. Para implantações maiores, conecte sua automação ACME a uma plataforma como Keyfactor, AppViewX ou CyberArk. Essas ferramentas dão a você visibilidade de todos os seus certificados, ajudam a aplicar políticas e facilitam a auditoria da sua infraestrutura.
  • Proteja suas chaves privadas. Mesmo com a automação, a segurança é importante. Armazene chaves privadas em módulos de segurança de hardware (HSMs) ou use métodos de atestado de dispositivo (como o Secure Enclave da Apple) para ambientes de alta segurança. Ferramentas como a Dynamic PKI with Cloud RADIUS da SecureW2 podem ajudar a integrar a identidade do dispositivo em seus fluxos de trabalho de certificados.
  • Monitore as datas de expiração dos certificados. A automação é confiável, mas não é infalível. Configure alertas para notificar você se um certificado estiver se aproximando da expiração sem ser renovado. Isso oferece a você uma rede de segurança caso algo dê errado com sua automação.

Você está pronto para automatizar o ciclo de vida do seu certificado?

Você não precisa mais se preocupar com certificados expirados e renovações manuais. O SSL Dragon oferece certificados SSL compatíveis com ACME de autoridades confiáveis, como Sectigo e DigiCert, a partir deapenas US$ 25/ano. Você obtém emissão, renovação e gerenciamento automáticos com reemissões ilimitadas, cobertura de garantia de mais de US$ 500.000 e suporte técnico 24 horas por dia, 7 dias por semana.

Se você precisa de certificados com validação de domínio (DV), validação de organização (OV) ou validação estendida (EV), nossas soluções ACME se integram perfeitamente a clientes populares como Certbot, acme.sh e outros.

Explore os certificados SSL da ACME

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.