Zum Inhalt springen
0
0228 / 96 96 77-0
Kontakt

ACME (Automatic Certificate Management Environment)

ACME (Automatic Certificate Management Environment) in einfacher Sprache
Zuletzt aktualisiert: 28.04.2026Autor: Redaktion DomainProvider.de · Lesezeit: 4 Min.

ACME (Automatic Certificate Management Environment) ist ein offenes Protokoll zur automatischen Beantragung, Validierung und Erneuerung von SSL-Zertifikaten. Entwickelt von der Internet Security Research Group (ISRG) fuer den Einsatz mit Let's Encrypt, ist ACME seit 2019 als RFC 8555 standardisiert. Das Protokoll ersetzt den bisher manuellen Prozess der Zertifikatsverwaltung durch eine vollstaendig automatisierte Maschine-zu-Maschine-Kommunikation zwischen dem Webserver und der Zertifizierungsstelle (CA).

Welches Problem loest ACME?

Ohne ACME sieht der Prozess zur Beschaffung eines SSL-Zertifikats typischerweise so aus: CSR generieren, bei einer CA einreichen, Domain-Validierung durchfuehren (E-Mail, DNS-Eintrag oder Datei auf dem Server), Zertifikat herunterladen, auf dem Server installieren, Webserver neu starten. Vor Ablauf des Zertifikats muss der gesamte Prozess wiederholt werden.

Dieser manuelle Ablauf ist fehleranfaellig. Vergessene Erneuerungen fuehren zu abgelaufenen Zertifikaten, die Browser-Warnungen ausloesen und Besucher abschrecken. Mit den immer kuerzer werdenden Zertifikatslaufzeiten — ab 2029 maximal 47 Tage — wird manuelle Verwaltung schlicht unmoeglich. ACME automatisiert jeden einzelnen Schritt.

Wie funktioniert das ACME-Protokoll?

ACME basiert auf einem Challenge-Response-Verfahren. Der Ablauf gliedert sich in drei Phasen:

  1. Registrierung: Der ACME-Client erstellt ein Schluessel-Paar und registriert sich bei der CA. Dabei wird ein Account angelegt, der alle kuenftigen Zertifikatsanfragen diesem Schluessel zuordnet.
  2. Validierung (Challenge): Der Client beantragt ein Zertifikat fuer eine oder mehrere Domains. Die CA stellt eine Challenge — eine Aufgabe, die nur der tatsaechliche Betreiber der Domain erfuellen kann:
    • HTTP-01: Der Client legt eine Datei mit einem bestimmten Token unter /.well-known/acme-challenge/ auf dem Webserver ab. Die CA ruft diese URL ab.
    • DNS-01: Der Client erstellt einen TXT-Record in der DNS-Zone der Domain. Die CA prueft den DNS-Eintrag. Diese Methode wird fuer Wildcard-Zertifikate benoetigt.
    • TLS-ALPN-01: Der Client praesentiert ein spezielles selbstsigniertes Zertifikat auf Port 443. Wird vor allem in Umgebungen eingesetzt, in denen HTTP und DNS nicht direkt kontrolliert werden koennen.
  3. Ausstellung: Nach erfolgreicher Validierung sendet der Client einen CSR (Certificate Signing Request) an die CA. Die CA stellt das Zertifikat aus und liefert es an den Client zurueck. Der Client installiert es auf dem Server und laedt die Webserver-Konfiguration neu.

Die gesamte Kommunikation erfolgt ueber HTTPS im JSON-Format. Alle Anfragen sind kryptografisch signiert, um Manipulation zu verhindern.

Welche ACME-Clients gibt es?

Ein ACME-Client ist die Software, die auf dem Server laeuft und mit der CA kommuniziert. Es gibt zahlreiche Implementierungen fuer verschiedene Umgebungen:

  • Certbot: Der offizielle Client von Let's Encrypt. Unterstuetzt Apache und Nginx, kann Zertifikate automatisch installieren und Erneuerungen per Cronjob ausfuehren.
  • acme.sh: Ein reines Shell-Skript ohne externe Abhaengigkeiten. Besonders beliebt auf minimalen Server-Setups und in Containern.
  • Caddy: Ein Webserver mit eingebautem ACME-Client. Beschafft und erneuert Zertifikate vollautomatisch, ohne zusaetzliche Konfiguration.
  • Lego: Ein in Go geschriebener Client mit Unterstuetzung fuer ueber 100 DNS-Provider. Gut geeignet fuer DNS-01-Challenges in komplexen Infrastrukturen.
  • Windows-Clients: Win-ACME (WACS) ist der gaengigste Client fuer IIS-basierte Umgebungen unter Windows Server.

Welche Zertifizierungsstellen unterstuetzen ACME?

ACME wurde fuer Let's Encrypt entwickelt, wird aber inzwischen von weiteren Zertifizierungsstellen unterstuetzt:

  • Let's Encrypt: Kostenlose DV-Zertifikate, vollstaendig automatisiert ueber ACME. Die mit Abstand groesste ACME-CA.
  • ZeroSSL: Ebenfalls kostenlose DV-Zertifikate mit ACME-Unterstuetzung, zusaetzlich mit optionaler Web-Oberflaeche.
  • Google Trust Services: Bietet ACME-Zugang fuer DV-Zertifikate, integriert in die Google-Cloud-Infrastruktur.
  • Sectigo, DigiCert: Kommerzielle CAs, die ACME fuer ihre kostenpflichtigen Zertifikate (einschliesslich OV-Zertifikate) anbieten.

Warum wird ACME zur Pflicht?

Die vom CA/Browser Forum beschlossene Verkuerzung der Zertifikatslaufzeiten macht ACME faktisch verpflichtend. Bei einer maximalen Laufzeit von 47 Tagen ab 2029 muessen Zertifikate etwa alle 30 Tage erneuert werden — das sind zwoelf Erneuerungen pro Jahr und Domain. Ohne Automatisierung ist das nicht zuverlaessig umsetzbar.

Auch die Domain-Validierung muss ab 2029 alle zehn Tage wiederholt werden. ACME erledigt beides in einem einzigen automatisierten Vorgang. Hosting-Anbieter, die Webhosting-Pakete mit SSL bereitstellen, setzen ACME laengst im Hintergrund ein. Betreiber eigener Server sollten die Umstellung nicht aufschieben.

Wie sicher ist ACME?

Das Protokoll ist kryptografisch abgesichert. Jeder Account besitzt ein asymmetrisches Schluessel-Paar, mit dem alle Anfragen signiert werden. Die Challenges stellen sicher, dass nur der tatsaechliche Betreiber einer Domain ein Zertifikat erhalten kann.

Sicherheitsrelevante Aspekte im Betrieb:

  • Schluesselschutz: Der private Account-Schluessel muss geschuetzt werden. Wer Zugriff auf diesen Schluessel hat, kann Zertifikate fuer die zugehoerigen Domains ausstellen.
  • Monitoring: Automatisierung bedeutet nicht „vergessen“. Die Erneuerungsprozesse sollten ueberwacht werden. Ein fehlgeschlagenes Renewal bei einem 47-Tage-Zertifikat laesst nur wenig Reaktionszeit. Ein regelmaessiger SSL-Check hilft bei der Ueberwachung.
  • Certificate Transparency: Alle ueber ACME ausgestellten Zertifikate werden in oeffentlichen CT-Logs protokolliert. Fehlerhaft ausgestellte Zertifikate lassen sich so erkennen.

Fazit

ACME ist das Standardprotokoll fuer die automatische Verwaltung von SSL-Zertifikaten. Es automatisiert Beantragung, Domain-Validierung und Erneuerung in einem durchgaengigen Prozess. Mit der schrittweisen Verkuerzung der Zertifikatslaufzeiten wird ACME von einer bequemen Option zur technischen Notwendigkeit. Die Einrichtung erfordert einmaligen Aufwand — danach laeuft die Zertifikatsverwaltung ohne manuelles Eingreifen.

Haftungsausschluss (Details anzeigen)(Details ausblenden)

Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.