Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Ressource éducative

Quelques mots sur ACME

11 février 2024
4 min de lecture
Contenu expert

Publié le

11 février 2024

Introduction

Le protocole ACME (Environnement automatisé de gestion des certificats) est un protocole réseau conçu pour automatiser le processus de validation de domaine et la délivrance de certificats X.509. Le protocole a été initialement conçu par le Internet Security Research Group (ISRG) pour leur propre service de délivrance de certificats : Let's Encrypt. Le protocole est maintenant publié comme norme Internet dans RFC 8555. L'ISRG lui‑même est soutenu par des entreprises telles que Cisco, Google, Mozilla ou Facebook.

ACME v1 a été publié le 12 avril 2016 mais il est maintenant obsolète.

La dernière version actuellement prise en charge, ACME v2, a été publiée le March 13, 2018.

La principale nouvelle fonctionnalité d'ACME v2 est la prise en charge des domaines génériques. Elle n'est pas compatible avec les versions antérieures d'ACME v1.

Vue d'ensemble

Les certificats SSL sont généralement utilisés sur Internet pour sécuriser les communications vers un site web. Ils certifient l'identité du site web en se basant sur son nom de domaine DNS. Ces certificats sont délivrés par des autorités de certification publiques en utilisant trois stratégies de validation :

  • Validation de domaine, où l'administrateur du site doit prouver qu'il contrôle le domaine DNS

  • Validation d'organisation, où l'administrateur du site devra prouver qu'il représente l'organisation détenant le domaine DNS

  • Validation étendue, qui ajoute des contrôles supplémentaires en plus de la validation d'organisation

Essentiellement, les étapes pour obtenir un certificat en utilisant le processus de validation de domaine sont les suivantes :

  1. Générez une requête de signature de certificat PKCS#10;

  2. Téléversez la CSR sur la page web de la CA ;

  3. Attester la propriété du domaine inclus dans le CSR en utilisant l'une des méthodes suivantes :

    • Ajoutez un défi fourni par l'Autorité de certification à un endroit spécifique sur le serveur web ;

    • Ajoutez un défi fourni par l'Autorité de Certification dans un enregistrement DNS correspondant au domaine demandé;

    • Recevez un défi fourni par l'Autorité de Certification à une adresse e-mail et répondez-y sur la page web de l'Autorité de Certification.

  4. Recevez et installez le certificat généré.

ACME vise à automatiser ces mécanismes utilisés dans le processus de validation de domaine en fournissant un cadre qui automatise la procédure de vérification d'identité et la délivrance du certificat.

Vous souhaitez mettre en œuvre ces pratiques PKI ?

Obtenez des conseils d'experts pour mettre en œuvre des solutions PKI sécurisées pour votre organisation.

Obtenir de l'aide d'expert

Les communications entre un serveur ACME et un client ACME sont basées sur JavaScript Object Notation (JSON) messages, sécurisés avec TLS et JSON Web Signature (JWS).

L'émission d'un certificat via le protocole ACME est très similaire à l'émission d'un certificat via le processus habituel DV des CA :

  1. Création d'un compte;

  2. Demande d'un certificat ;

  3. Prouver la propriété du domaine à l'aide d'un défi.

Voici en détail le processus de demande d'un certificat en utilisant le protocole ACME :

Le client doit créer un compte, envoyer une demande de signature, répondre à un défi envoyé par le serveur ACME, puis envoyer le CSR pour signature. Dans la plupart des cas, toutes ces opérations sont entièrement automatisées.

À propos du processus de validation ACME

ACME spécifie 3 méthodes de validation différentes, selon la RFC 8555 :

  • pré‑validation, où la validation a lieu avant l'inscription ACME réelle, par d'autres moyens que ACME

  • validation http-01, où le défi de validation est servi par le client en utilisant HTTP

  • validation dns-01, où le défi de validation est rendu disponible via DNS

Une quatrième méthode de validation est également couramment utilisée. Connue sous le nom tls‑alpn‑01, elle repose sur l'extension TLS ALPN pour délivrer un certificat auto‑signé contenant le défi.

Ces 4 méthodes de validation ont toutes des avantages et des inconvénients, car il n'est pas toujours possible d'utiliser chacune d'elles :

  • Les ports HTTP peuvent être fermés ou redirigés de manière agressive vers HTTPS

  • Les serveurs DNS peuvent être bunkerisés et ne sont pas facilement utilisables par les clients ACME

  • L'extension TLS ALPN n'est pas prise en charge par tous les serveurs

  • Très peu de clients prennent réellement en charge la méthode de pré-validation, car Let's Encrypt ne la supporte pas

Par conséquent, lors de la conception d'une solution d'automatisation PKI basée sur ACME, le choix et l'architecture utilisés pour la validation sont un point clé.

Clients ACME

L'autre point clé principal est le choix des clients ACME. Certains produits ou solutions incluent déjà un client ACME, rendant le choix évident.

Pour les autres cas, voici une liste non exhaustive de clients ACME :

Cela était-il utile?
Retour au centre d'éducation

Table des matières

Continuer d'apprendre

Recevez le dernier contenu éducatif et les informations PKI directement dans votre boîte de réception.

En vous abonnant, vous acceptez de recevoir nos communications. Vous pouvez vous désabonner à tout moment.

Ressources associées

Evertrust

Séquence 2 : Installer et configurer NGINX pour le chiffrement TLS sur RHEL/Debian/OpenSUSE

April 22, 2024
1 min

Améliorez la sécurité de votre serveur web en maîtrisant le chiffrement TLS. Notre guide détaillé propose des étapes pratiques pour installer NGINX sur différentes distributions Linux, ajoutant une couche de sécurité pour protéger les données sensibles transmises sur le web.

En savoir plus
Evertrust Comment

Activer la prise en charge de la cryptographie post-quantique dans les navigateurs Web

April 17, 2024
1 min

Explorez l'avenir de la cryptographie post-quantique et de l'échange sécurisé de clés dans la communication web. Apprenez comment activer ces fonctionnalités de sécurité avancées dans les principaux navigateurs comme Microsoft Edge et Firefox. Restez en avance grâce à notre guide étape par étape.

En savoir plus
Evertrust

Séquence 1 : Le guide d'installation et de configuration d'Apache Httpd pour le chiffrement TLS sur RHEL, Debian, OpenSUSE

16 avril 2024
1 min

Explorez le processus optimal d'installation et de sécurisation d'un serveur web sur les distributions Linux telles que RHEL, Debian et OpenSUSE. En maîtrisant la mise en œuvre du chiffrement TLS sur les serveurs web Apache Httpd, nous fournissons des étapes concises pour une meilleure protection des données.

En savoir plus

Prêt à reprendre le contrôle de vos certificats ?

Parlez à nos experts et découvrez comment Evertrust peut vous aider à mettre en œuvre les meilleures pratiques en matière de PKI et de gestion du cycle de vie des certificats.

Parler à un expert