Mois : mars 2025

Protocole ACME : automatiser la gestion des certificats

Définition

ACME (Automated Certificate Management Environment) est un protocole permettant d’émettre, renouveler et révoquer automatiquement les certificats SSL/TLS pour des sites web ou des services en ligne. Il a été créé par l’Internet Security Research Group (ISRG) et est défini par la norme RFC 8555. L’objectif est de rendre l’obtention de ces certificats plus rapide, automatisée et sécurisée.

L’évolution historique du protocole et des niveaux de contrôle

Créé en 2016, ACME permettait d’obtenir des certificats SSL/TLS de manière simplifiée. Son périmètre s’arrêtait à la délivrance de certificats de validation de domaines (DV). Depuis, ACME intègre les certificats de plus grandes valeurs comme les SSL de validation d’organisation (OV) et de validation étendue (EV).

Une première évolution en 2018 élargit le périmètre ACME en intégrant les certificats Wildcard permettant de gérer plusieurs sous-domaines. La sécurité des données a également été renforcée. 

En 2019, l’Internet Engineering Task Force (IETF) a formalisé l’ACME dans la norme RFC 8555. Aujourd’hui la version 2 est en vigueur et la version 1 a définitivement été supprimée en 2021.

Le champ d’action du protocole ACME

Quel est le principe du protocole ACME ?

Au travers d’un serveur HTTPS, ACME va gérer la fourniture et le suivi des certificats et éliminer les actions manuelles pour commander ou renouveler le certificat. ACME agit donc comme un assistant invisible pour gérer les SSL.

Voici le principe général : 

1. Connexion automatique : le serveur de votre site web va exploiter le protocole ACME pour se connecter automatiquement à une autorité de certification et effectuer une demande de certificat ;
2. Vérification automatique : le protocole ACME s’assure de l’identité du propriétaire du nom de domaine ; 
3. Obtention et renouvellement du certificat : une fois l’identité validée, l’autorité de certification délivre automatiquement un certificat numérique. Ensuite, le protocole ACME permettra la renouvellement de ce certificat avant son expiration.

Pour ce faire, il s’appuie sur un client ACME et un serveur ACME afin de communiquer via une connexion sécurisée.

Le rôle du serveur ACME

Le serveur ACME est le système qui facilite l’implémentation des certificats SSL/TLS sur le serveur web. Il est administré par des autorités de certification comme Certigna.

Il a quatre rôles importants : 

• recevoir et émettre des requêtes au client ACME ; 
• créer le challenge de vérification DCV (validité du contrôle de domaine) ; 
• autoriser temporairement le client ACME à faire des modifications (pour l’installation du certificat ou le DCV) ;
• participe avec le client ACME au renouvellement automatique des certificats avant leur expiration
• révoque les certificats en cas de compromission ;

C’est au travers du serveur ACME que l’entreprise va réaliser la gestion de : 

• la partie administrative : documents d’identité de l’organisation et des propriétés domaines, crédits, certificats actifs…
• la partie technique : connexion au client ACME, communication pour la validation domaine, la révocation des certificats compromis…

Le rôle du client ACME

Un client ACME communique avec l’autorité de certification et son serveur ACME via le protocole ACME. Il est essentiel pour obtenir, renouveler et installer le certificat sans intervention manuelle.

Il existe différents clients ACME dont le plus connu est CertBot.

Il est souvent utilisé pour : 

• automatiser la gestion des certificats SSL/TLS, notamment pour les serveurs web (Apache ou Nginx.) ; 
• gérer les étapes d’authentification auprès de l’autorité de certification ; 
• effectuer les vérifications de propriété des domaines (via les challenges DNS ou HTTP)
• obtenir un certificat SSL pour votre site; 
• renouveler automatiquement les certificats avant qu’ils expirent ;
• installer et déployer automatiquement les certificats sur les serveurs.

Il existe d’autres clients ACME selon les configurations ou environnements :

• acme.sh : client léger écrit en shell, facile à utiliser et compatible avec plusieurs serveurs et environnements.
• GetSSL : client simple écrit en bash, souvent utilisé dans des environnements automatisés.
• Dehydrated : écrit en bash et qui met l’accent sur la simplicité et la flexibilité.
• WACS (anciennement Win-ACME) : client pour gérer les certificats ACME sous Windows.

Les avantages du protocole ACME pour sécuriser et simplifier la gestion des certificats SSL

Les organisations ont engagé leur transition digitale, avec l’implémentation de nouveaux outils et plateformes web. L’usage de certificats SSL/TLS se multiplient imposant une gestion rigoureuse de leur expiration.

 ACME pour gagner du temps

La durée de validité du certificat SSL se réduit et le suivi des obsolescences devient consommateur de temps pour les équipes IT. L’automatisation via le protocole ACME permet de simplifier ce processus et de sécuriser le renouvellement des certificats. Les erreurs humaines sont réduites et les équipes sont libérées de cette tâche chronophage et à faible valeur. 

C’est d’autant plus vrai pour les grandes organisations. Elles disposent souvent de multiples sites et noms de domaines, multipliant les certificats SSL. Pour les plus petites entreprises, l’usage de SSL peut être moins fréquent, mais ne signifie pas pour autant moins de rigueur dans le processus de suivi de l’expiration des certificats. 

 Une sécurité renforcée avec le protocole ACME

En 2024, 40 % des personnes interrogées utilisent des tableurs pour suivre manuellement leurs certificats. Elles connaissent pour la plupart des pannes inattendues à cause d’expirations ou de mauvaises configurations.

Le défaut de certificats SSL peut engendrer des interruptions de services et rendre vulnérables les sites internets, les services en ligne et les données qui y sont diffusées. Le suivi manuel de l’expiration et du renouvellement des certificats peut donc provoquer des erreurs humaines et mettre en danger la sécurité des plateformes web. La mise en place du protocole ACME limite ces risques grâce au système d’alertes et à la demande automatique du renouvellement des certificats SSL.

1 Rapport 2024 State of Machine Identity Management Report

 Comment fonctionne le protocole ACME ?

Comment ça marche ?

L’implémentation implique l’usage d’un client ACME et d’un serveur ACME. Ils communiquent automatiquement tous les deux au travers de messages JSON via une connexion sécurisée HTTPS. 

Le client ACME surveille les durées de validité des certificats et émet les demandes juste avant leur expiration. Chaque nouvelle émission de certificat doit passer par un challenge, pour sécuriser et valider les noms de domaines.

Comment implémenter ACME avec Certigna ?

• Initialisation et création du compte Certigna

La génération et le renouvellement d’un certificat SSL OV ( Organization validated) tel que ceux proposés par Certigna impose certaines vérifications d’informations et de données préalables : 

• L’organisme mentionné dans la demande de certificat est approuvé par l’autorité de certification ;
• Le gestionnaire de certificats est validé par son organisation ;
• Le nom de domaine est sous le contrôle de l’entité ;
• Les documents requis sont fournis ; 
• L’entité dispose de crédits suffisants.

Les éléments du dossier sont valables un an (365j) dès qu’ils sont validés par l’autorité de certification Certigna et doivent être renouvelés à expiration.

• Configuration du client ACME

La première étape consiste à initialiser la connexion avec le client ACME et à effectuer le paramétrage principal sur sa plateforme.

La demande de l’identifiant du compte Certigna et les échanges de certificats avec le client ACME sont réalisés sous signature (clé HMAC) et avec un identifiant unique au format UUID.

L’étape suivante du processus permet de générer une paire de clés RSA. Le client ACME conserve la clé privée, tandis que la clé publique est stockée sur le serveur ACME.

Tous les échanges ultérieurs avec le serveur ACME seront signés avec la clé privée. Le serveur ACME vérifie la validité de la demande, du compte, de données et la disponibilité des crédits Certigna SSL ACME pour les futures générations de certificats.

• Challenges

Le demandeur doit prouver qu’il est le gestionnaire du nom de domaine.

Deux options s’offrent à lui : 

• option HTTP : la machine ouvre une adresse HTTP et attend le fichier ; 
• option DNS : les équipes techniques doivent permettre l’accès DNS de l’hébergeur pour l’ajout de l’enregistrement TXT.

Cette dernière permet une meilleure organisation de l’infrastructure informatique, car elle valide tous les domaines associés à une machine. 

1. Émission et distribution des certificats

Les certificats sont générés et déployés automatiquement, assurant la sécurité de vos sites internets. 

Le protocole ACME : un relai pour les équipes IT

 Une gestion sereine des certificats SSL

Le protocole ACME est un atout pour les équipes informatiques. Elles peuvent s’affranchir du suivi manuel de leurs certificats grâce à l’automatisation. 

Seule la création du dossier une fois par an et les paramétrages initiaux nécessitent une intervention humaine.

 ACME s’occupe de tout

De la demande d’un certificat à la validation de l’organisation (OV) et aux challenges, ACME prend en charge de manière automatique l’ensemble du processus. En cas de problème, des alertes vous sont adressées. ACME génère également des comptes-rendus en temps réel des actions en cours.

Voici un récapitulatif des différents statuts d’alerte : 

 Protocole ACME : les équipes Certigna vous accompagnent 

Certigna, autorité de certification reconnue par l’ANSSI, vous accompagne dans l’implémentation d’ACME.

Nous vous aidons à choisir le client ACME le plus adapté aux spécificités de votre SI et de votre organisation. Nous vous proposons également une aide à sa configuration et vous assistons tout au long du processus, de la création du compte jusqu’au paramétrage et à l’installation sur vos serveurs.

Notre équipe de techniciens experts est à votre disposition. Vous voulez en savoir plus sur les prérequis techniques détaillés pour intégrer ACME ? Consulter notre documentation technique.