Automatic Certificate Management Environment

Das Automatic Certificate Management Environment (ACME)^[1] ist ein Protokoll zur automatischen Prüfung der Inhaberschaft einer Internet-Domain und dient der vereinfachten Ausstellung von digitalen Zertifikaten für TLS-Verschlüsselung. Ziel der Umgebung ist es, die Zertifikate automatisiert und sehr kostengünstig auszustellen.^[2][3] Es wurde von der Internet Security Research Group (ISRG) für den Einsatz im Let’s-Encrypt-Dienst entwickelt.

ACME-Logo

Das Protokoll basiert auf JSON-formatierten Meldungen, die über HTTPS ausgetauscht werden. Das Protokoll ist im März 2019 von der Internet Engineering Task Force (IETF) als RFC 8555 standardisiert worden.^[1][3]

Versionen

ACMEv1

Die ACME-Version 1 wurde am 12. April 2016 veröffentlicht. Mit dieser Version können Zertifikate für einzelne oder mehrere Domains, wie z. B. https://example.com oder https://cluster.example.com, ausgestellt werden. Es werden bis zu 100 Domainnamen pro Zertifikat unterstützt.^[4] Let’s Encrypt hat die Unterstützung für ACMEv1 zum 1. Juni 2021 eingestellt.^[5]

ACMEv2

Die ACME-Version 2 unterstützt zusätzlich zu vollständigen Domainnamen in Zertifikaten neu auch Wildcard-Namen, wie z. B. *.example.com. Damit wird ermöglicht, dass viele oder wechselnde Subdomains, wie z. B. https://cluster1000.example.com bis https://cluster9999.example.com, über dasselbe Wildcard-Zertifikat *.example.com abgesichert werden können.^[6] Zu beachten ist, dass Hostnamen in Subdomains (z. B. www.cluster1234.example.com) oder Hauptdomain (example.com) vom Wildcard-Zertifikat nicht abgedeckt werden. Diese Namen müssen als zusätzlicher Eintrag (Subject Alternative Name) im Zertifikat auftauchen oder es muss ein weiteres Zertifikat dafür ausgestellt werden.

In RFC 6125 wird aus Sicherheitsgründen von Wildcard-Zertifikaten abgeraten.^[7] In vielen Fällen erübrigt die Möglichkeit zur Online-Erstellung von Zertifikaten auch den Bedarf für Wildcards.

ACME Renewal Information

Die Protokoll-Erweiterung ACME Renewal Information (ARI) ermöglicht einer Zertifizierungsstelle, dem ACME-Client mitzuteilen, wann eine Zertifikatserneuerung erfolgen soll. Dadurch kann die Zertifizierungsstelle Lastspitzen besser verteilen oder eine vorzeitige Zertifikatserneuerung im Fall eines Zertifikats-Widerrufs auslösen.^[8] ARI wurde im Jahr 2020 von Let’s Encrypt in den Standardisierungsprozess der IETF eingebracht.^[9] Im August 2023 war es im Status eines Internet-Drafts.^[8] Let’s Encrypt setzt ARI seit März 2023 produktiv ein.^[9]

Verbreitung

ACME wird von verschiedenen Zertifizierungsstellen zur Ausstellung von PKIX-Zertifikaten eingesetzt. Der kostenlose Anbieter Let’s Encrypt verwendet es als einziges Verfahren zur Zertifikatsausstellung. Kommerzielle Anbieter wie Buypass Go SSL^[10], SSL.com^[11] oder ZeroSSL^[12] verwenden ACME, um kostenlose Zertifikate mit eingeschränkter Gültigkeitsdauer auszustellen.

Es gibt eine Vielzahl von ACME-Clients als Open-Source-Software.^[13]

Funktionsweise

ACME ermöglicht die automatisierte Validierung der Domaininhaberschaft und die Ausstellung von Zertifikaten durch einen standardisierten Ablauf:

1. Erstellung eines ACME-Kontos: Der Client registriert sich bei der Zertifizierungsstelle und erzeugt einen kryptografischen Schlüssel. Dieses Konto ist von Zertifizierungsstelle zu Zertifizierungsstelle unterschiedlich und nur für diese gültig.
2. Anforderung eines Zertifikats: Der Client sendet eine Anfrage zur Ausstellung eines Zertifikats für eine oder mehrere Domänen.
3. Validierung der Domäne: Der Client beweist seine Kontrolle über die Domäne durch DNS- oder HTTP-basierte Herausforderungen (Challenges).
4. Ausstellung des Zertifikats: Nach erfolgreicher Validierung stellt die CA das Zertifikat aus und es kann heruntergeladen werden. Danach kann es auf dem Zielserver installiert werden, um z. B. HTTPS auf einem Webserver anzubieten. ACME Clients wie Certbot können auch entsprechend die Konfiguration von Webservern wie der Apache HTTP Server oder Nginx anpassen und anschließend den Server anstoßen, die Konfiguration neu zu laden. Damit werden dann die eben von der Zertifizierungsstelle abgeholten Zertifikate geladen und ab diesem Zeitpunkt vom Webserver verwendet.
5. Erneuerung: ACME ermöglicht eine automatisierte Erneuerung von Zertifikaten. Zu gegebener Zeit, meist wenn das Zertifikat in 1–2 Wochen abläuft, werden dann die Schritte 2 bis 4 wiederholt. Das bestehende ACME Konto wird somit wiederverwendet.