Certigna
image header post
Les articles sur la certification SSL
13.03.25
0 min

Qu’est-ce que le protocole ACME et comment fonctionne-t-il ?

L’usage de certificats numériques SSL est incontournable dans les projets digitaux des organisations. En effet, ils sécurisent les accès, les données et les échanges, notamment entre un site web et ses visiteurs ou entre serveurs. Mais leur gestion peut vite devenir un casse-tête pour les équipes IT, surtout avec la forte volonté des principaux acteurs de réduire leur durée de validité.

En effet, la tendance actuelle concernant les futures exigences de sécurité semble viser une durée de validité des certificats SSL de 3 mois voire même de 45 jours. L’usage du protocole ACME est la solution évidente pour suivre et renouveler automatiquement les certificats SSL/TLS.

Protocole ACME : automatiser la gestion des certificats

Définition

ACME (Automated Certificate Management Environment) est un protocole permettant d’émettre, renouveler et révoquer automatiquement les certificats SSL/TLS pour des sites web ou des services en ligne. Il a été créé par l’Internet Security Research Group (ISRG) et est défini par la norme RFC 8555. L’objectif est de rendre l’obtention de ces certificats plus rapide, automatisée et sécurisée.

L’évolution historique du protocole et des niveaux de contrôle

Créé en 2016, ACME permettait d’obtenir des certificats SSL/TLS de manière simplifiée. Son périmètre s’arrêtait à la délivrance de certificats de validation de domaines (DV). Depuis, ACME intègre les certificats de plus grandes valeurs comme les SSL de validation d’organisation (OV) et de validation étendue (EV).

Une première évolution en 2018 élargit le périmètre ACME en intégrant les certificats Wildcard permettant de gérer plusieurs sous-domaines. La sécurité des données a également été renforcée. 

En 2019, l’Internet Engineering Task Force (IETF) a formalisé l’ACME dans la norme RFC 8555. Aujourd’hui la version 2 est en vigueur et la version 1 a définitivement été supprimée en 2021.

Le champ d’action du protocole ACME

Quel est le principe du protocole ACME ?

Au travers d’un serveur HTTPS, ACME va gérer la fourniture et le suivi des certificats et éliminer les actions manuelles pour commander ou renouveler le certificat. ACME agit donc comme un assistant invisible pour gérer les SSL.

Voici le principe général : 

  1. Connexion automatique : le serveur de votre site web va exploiter le protocole ACME pour se connecter automatiquement à une autorité de certification et effectuer une demande de certificat ;
  2. Vérification automatique : le protocole ACME s’assure de l’identité du propriétaire du nom de domaine ; 
  3. Obtention et renouvellement du certificat : une fois l’identité validée, l’autorité de certification délivre automatiquement un certificat numérique. Ensuite, le protocole ACME permettra la renouvellement de ce certificat avant son expiration.

Pour ce faire, il s’appuie sur un client ACME et un serveur ACME afin de communiquer via une connexion sécurisée.

Le rôle du serveur ACME

Le serveur ACME est le système qui facilite l’implémentation des certificats SSL/TLS sur le serveur web. Il est administré par des autorités de certification comme Certigna.

Il a quatre rôles importants : 

  • recevoir et émettre des requêtes au client ACME ; 
  • créer le challenge de vérification DCV (validité du contrôle de domaine) ; 
  • autoriser temporairement le client ACME à faire des modifications (pour l’installation du certificat ou le DCV) ;
  • participe avec le client ACME au renouvellement automatique des certificats avant leur expiration
  • révoque les certificats en cas de compromission ;

C’est au travers du serveur ACME que l’entreprise va réaliser la gestion de : 

  • la partie administrative : documents d’identité de l’organisation et des propriétés domaines, crédits, certificats actifs…
  • la partie technique : connexion au client ACME, communication pour la validation domaine, la révocation des certificats compromis…

Le rôle du client ACME

Un client ACME communique avec l’autorité de certification et son serveur ACME via le protocole ACME. Il est essentiel pour obtenir, renouveler et installer le certificat sans intervention manuelle.

Il existe différents clients ACME dont le plus connu est CertBot.

Il est souvent utilisé pour : 

  • automatiser la gestion des certificats SSL/TLS, notamment pour les serveurs web (Apache ou Nginx.) ; 
  • gérer les étapes d’authentification auprès de l’autorité de certification ; 
  • effectuer les vérifications de propriété des domaines (via les challenges DNS ou HTTP)
  • obtenir un certificat SSL pour votre site; 
  • renouveler automatiquement les certificats avant qu’ils expirent ;
  • installer et déployer automatiquement les certificats sur les serveurs.

Il existe d’autres clients ACME selon les configurations ou environnements :

  • acme.sh : client léger écrit en shell, facile à utiliser et compatible avec plusieurs serveurs et environnements.
  • GetSSL : client simple écrit en bash, souvent utilisé dans des environnements automatisés.
  • Dehydrated : écrit en bash et qui met l’accent sur la simplicité et la flexibilité.
  • WACS (anciennement Win-ACME) : client pour gérer les certificats ACME sous Windows.

Les avantages du protocole ACME pour sécuriser et simplifier la gestion des certificats SSL

Les organisations ont engagé leur transition digitale, avec l’implémentation de nouveaux outils et plateformes web. L’usage de certificats SSL/TLS se multiplient imposant une gestion rigoureuse de leur expiration.

 ACME pour gagner du temps

La durée de validité du certificat SSL se réduit et le suivi des obsolescences devient consommateur de temps pour les équipes IT. L’automatisation via le protocole ACME permet de simplifier ce processus et de sécuriser le renouvellement des certificats. Les erreurs humaines sont réduites et les équipes sont libérées de cette tâche chronophage et à faible valeur. 

C’est d’autant plus vrai pour les grandes organisations. Elles disposent souvent de multiples sites et noms de domaines, multipliant les certificats SSL. Pour les plus petites entreprises, l’usage de SSL peut être moins fréquent, mais ne signifie pas pour autant moins de rigueur dans le processus de suivi de l’expiration des certificats. 

 Une sécurité renforcée avec le protocole ACME

En 2024, 40 % des personnes interrogées utilisent des tableurs pour suivre manuellement leurs certificats. Elles connaissent pour la plupart des pannes inattendues à cause d’expirations ou de mauvaises configurations.

Le défaut de certificats SSL peut engendrer des interruptions de services et rendre vulnérables les sites internets, les services en ligne et les données qui y sont diffusées. Le suivi manuel de l’expiration et du renouvellement des certificats peut donc provoquer des erreurs humaines et mettre en danger la sécurité des plateformes web. La mise en place du protocole ACME limite ces risques grâce au système d’alertes et à la demande automatique du renouvellement des certificats SSL.

1 Rapport 2024 State of Machine Identity Management Report

Comment fonctionne le protocole ACME ?

Comment ça marche ?

L’implémentation implique l’usage d’un client ACME et d’un serveur ACME. Ils communiquent automatiquement tous les deux au travers de messages JSON via une connexion sécurisée HTTPS. 

Le client ACME surveille les durées de validité des certificats et émet les demandes juste avant leur expiration. Chaque nouvelle émission de certificat doit passer par un challenge, pour sécuriser et valider les noms de domaines.

Comment implémenter ACME avec Certigna ?

  • Initialisation et création du compte Certigna

La génération et le renouvellement d’un certificat SSL OV ( Organization validated) tel que ceux proposés par Certigna impose certaines vérifications d’informations et de données préalables : 

  1. L’organisme mentionné dans la demande de certificat est approuvé par l’autorité de certification ;
  2. Le gestionnaire de certificats est validé par son organisation ;
  3. Le nom de domaine est sous le contrôle de l’entité ;
  4. Les documents requis sont fournis ; 
  5. L’entité dispose de crédits suffisants.

Les éléments du dossier sont valables un an (365j) dès qu’ils sont validés par l’autorité de certification Certigna et doivent être renouvelés à expiration.

  • Configuration du client ACME

La première étape consiste à initialiser la connexion avec le client ACME et à effectuer le paramétrage principal sur sa plateforme.

La demande de l’identifiant du compte Certigna et les échanges de certificats avec le client ACME sont réalisés sous signature (clé HMAC) et avec un identifiant unique au format UUID.

L’étape suivante du processus permet de générer une paire de clés RSA. Le client ACME conserve la clé privée, tandis que la clé publique est stockée sur le serveur ACME.

Tous les échanges ultérieurs avec le serveur ACME seront signés avec la clé privée. Le serveur ACME vérifie la validité de la demande, du compte, de données et la disponibilité des crédits Certigna SSL ACME pour les futures générations de certificats.

  • Challenges

Le demandeur doit prouver qu’il est le gestionnaire du nom de domaine.

Deux options s’offrent à lui : 

  • option HTTP : la machine ouvre une adresse HTTP et attend le fichier ; 
  • option DNS : les équipes techniques doivent permettre l’accès DNS de l’hébergeur pour l’ajout de l’enregistrement TXT.

Cette dernière permet une meilleure organisation de l’infrastructure informatique, car elle valide tous les domaines associés à une machine. 

  1. Émission et distribution des certificats

Les certificats sont générés et déployés automatiquement, assurant la sécurité de vos sites internets. 

Le protocole ACME : un relai pour les équipes IT

 Une gestion sereine des certificats SSL

Le protocole ACME est un atout pour les équipes informatiques. Elles peuvent s’affranchir du suivi manuel de leurs certificats grâce à l’automatisation. 

Seule la création du dossier une fois par an et les paramétrages initiaux nécessitent une intervention humaine.

 ACME s’occupe de tout

De la demande d’un certificat à la validation de l’organisation (OV) et aux challenges, ACME prend en charge de manière automatique l’ensemble du processus. En cas de problème, des alertes vous sont adressées. ACME génère également des comptes-rendus en temps réel des actions en cours.

Voici un récapitulatif des différents statuts d’alerte : 

Statut 

Description

Certificat émis

Énumération des certificats émis au cours des dernières 24 heures

Documents manquants

Liste des documents nécessaires pour valider le compte. Sans ces documents, le compte reste EN ATTENTE, et aucun certificat ne peut être délivré.

Documents expirés

Liste les documents expirés avec leur date d’expiration antérieure. Si un document expiré n’est pas remplacé, le compte passe en statut PENDING, empêchant d’émettre de nouveaux certificats.

Certificats expirés

Affichage des certificats dont la durée de validité est arrivée à son terme.

 

 Protocole ACME : les équipes Certigna vous accompagnent 

Certigna, autorité de certification reconnue par l’ANSSI, vous accompagne dans l’implémentation d’ACME.

Nous vous aidons à choisir le client ACME le plus adapté aux spécificités de votre SI et de votre organisation. Nous vous proposons également une aide à sa configuration et vous assistons tout au long du processus, de la création du compte jusqu’au paramétrage et à l’installation sur vos serveurs.

Notre équipe de techniciens experts est à votre disposition. Vous voulez en savoir plus sur les prérequis techniques détaillés pour intégrer ACME ? Consulter notre documentation technique.

Ces articles peuvent aussi vous intéresser !

Les articles sur la protection des données
Cybersécurité : 4 conseils pour protéger son entreprise et ses données
11.07.23
Les articles sur la certification SSL
L’évolution sur les méthodes de validation du contrôle du domaine pour les certificats SSL suite au vote de CA/Browser
06.11.21
FIC 2023 - Solutions de confiance 360
Evènement FIC 2023
Venez rencontrer les équipes de Certigna sur le FIC 2023
03.04.23
Les articles sur l'authentification et l'identification
La carte d’identité numérique en entreprise : l’outil qui protège de l’usurpation d’identité et du vol d’informations confidentielles
16.09.19
La société Dhimyotis (groupe Tessi), Tiers de Confiance européen spécialisé dans la cybersécurité et dans la confiance numérique obtient la certification eIDAS pour son horodatage. Sous sa marque Certigna, elle propose des solutions de sécurisation des échanges et des documents.
Les articles sur l'horodatage
Certigna obtient la certification eIDAS pour son horodatage
19.12.18
Un support disponible pour
répondre à toutes vos questions
Consulter le support
Recevez les actualités de Certigna par email
Inscrivez-vous à la newsletter
v2.06.03-04