Vom Vergleich zur Entscheidung
Wir helfen Ihnen, aus der Anbieter-Komplexität eine schlanke, betriebstaugliche Strategie zu machen.
Inzwischen unterstützen praktisch alle relevanten Certificate Authorities das ACME-Protokoll. Die Anbieter lassen sich grob in drei Gruppen einteilen: kostenlose CAs mit reiner DV-Validierung, kommerzielle CAs mit vollem Validierungsspektrum (DV/OV/EV) und Plattform-Anbieter wie Cloudflare, die ACME als Teil eines größeren Ökosystems anbieten.
Stärken: Bewährter De-facto-Standard, große Community, exzellente Dokumentation, vollständig kostenlos, zuverlässige Infrastruktur.
Grenzen: Nur DV-Validierung – keine OV- oder EV-Zertifikate. Keine Haftungssumme, kein SLA, kein telefonischer Support. Rate-Limits können in größeren Setups stören.
Geeignet für: Webhoster, Open-Source-Projekte, kleinere Unternehmens-Websites, interne Anwendungen ohne formale Anforderungen.
Stärken: ACME-kompatibel, REST-API zusätzlich verfügbar, gute Ergänzung zu Let’s Encrypt als Failover.
Grenzen: Marktanteil deutlich kleiner als Let’s Encrypt, im Enterprise-Umfeld weniger etabliert.
Geeignet für: Setups, die Let’s Encrypt-Rate-Limits überschreiten oder einen zweiten kostenlosen ACME-Endpoint als Redundanz brauchen.
Stärken: Längere Laufzeit, europäischer Anbieter, ACME-kompatibel.
Grenzen: International weniger bekannt, kleinerer Marktanteil.
Geeignet für: Skandinavische und europäische Setups, die einen DV-Anbieter mit längeren Laufzeiten suchen.
Cloudflare bietet zwei Varianten ACME-bezogener Zertifikate: zum einen die Edge-Zertifikate, die automatisch für jede über Cloudflare proxied Domain ausgestellt werden (transparent für den Kunden), zum anderen die Cloudflare Origin CA, deren Zertifikate per ACME bezogen werden können – allerdings nur für die Strecke zwischen Cloudflare-Edge und Ursprungs-Server, nicht für öffentliche Browser-Validierung.
Stärken: Tiefe Integration mit der Cloudflare-Plattform, einfaches Setup, kostenlos für Cloudflare-Kunden.
Grenzen: Cloudflare Origin CA ist nicht im Browser-Truststore enthalten – die Zertifikate funktionieren nur in der Cloudflare-eigenen Infrastruktur. Wer Zertifikate für Anwendungen außerhalb von Cloudflare braucht, kann diese Variante nicht nutzen.
Geeignet für: Setups, die vollständig hinter Cloudflare laufen und keine browser-vertrauenswürdigen Zertifikate auf dem Ursprung benötigen.
SSL.com war eine der ersten kommerziellen Certificate Authorities, die ACME flächendeckend unterstützt haben. Das Angebot reicht von DV über OV bis EV. Daneben gibt es das SSL.com ACME Free-Programm, das DV-Zertifikate mit ACME-Validierung kostenfrei bereitstellt – vergleichbar mit Let’s Encrypt, aber von einer kommerziellen CA mit voller Reporting-Infrastruktur.
Stärken: Volles Validierungsspektrum, kommerzielle SLAs, Haftungssummen, Reporting-Portal, IoT-Zertifikate, S/MIME-Zertifikate, dokumentenbasierte EV-Validierung mit telefonischer Verifizierung.
Grenzen: US-amerikanischer Anbieter – DSGVO und Auftragsverarbeitungsverträge müssen sauber geprüft werden.
Geeignet für: Unternehmen, die OV- oder EV-Zertifikate per ACME beziehen wollen, ohne den Anbieter wechseln zu müssen. Auch interessant als kommerzielle Free-Alternative zu Let’s Encrypt mit Reporting.
Stärken: Höchste Marktdurchdringung im Enterprise-Segment, umfangreiche Reporting- und Compliance-Funktionen, starke EV-Validierung, dedizierter Enterprise-Support.
Grenzen: Höhere Preise als die Volumen-Wettbewerber. ACME-Funktionalität teilweise abhängig vom gebuchten Tier.
Geeignet für: Großunternehmen mit komplexen Zertifikats-Anforderungen, regulierten Branchen, internationalen Setups.
Stärken: Sehr breites Produktportfolio, attraktives Preis-Leistungs-Verhältnis, gute Reseller-Konditionen.
Grenzen: Geringere Premium-Wahrnehmung als DigiCert oder GlobalSign in regulierten Branchen.
Geeignet für: Mittelständische Unternehmen, Hoster, Reseller-Setups, breite Domain-Portfolios mit gemischten Anforderungen.
Stärken: EU-Anbieter, eIDAS-konforme Produkte (qualifizierte Zertifikate verfügbar), Fokus auf regulierte Branchen, deutschsprachiger Support.
Grenzen: Preisstruktur etwas höher als Sectigo, Funktionsumfang im ACME-Self-Service weniger umfangreich als bei DigiCert oder SSL.com.
Geeignet für: EU-Unternehmen mit Compliance-Fokus (NIS2, DORA), öffentliche Verwaltung, qualifizierte elektronische Signaturen.
Stärken: Sehr hohe Compliance-Kompetenz, starke Validierungsprozesse, Tools für PKI-Modernisierung, Post-Quantum-Roadmap.
Grenzen: Höchste Preisstufe, ACME-Implementierung teils restriktiver als bei Volumen-Anbietern.
Geeignet für: Banken, Versicherungen, kritische Infrastruktur, öffentliche Hand, hochregulierte Branchen.
Let’s Encrypt
ZeroSSL
Buypass
Cloudflare
SSL.com
DigiCert
Sectigo
GlobalSign
Entrust
OV
–
–
EV
–
–
–
–
Kostenlos
–
–
–
–
EU-Server
–
–
–
–
–
–
Enterprise-SLA
Besonderheit
DSGVO und Datenresidenz: Bei vielen CAs werden Validierungsdaten in den USA verarbeitet. Wer das vermeiden will, sollte zu EU-zentrierten Anbietern wie GlobalSign oder Buypass greifen – oder zu Managed Services mit deutschem Sitz wie LEMARIT, die als Auftragsverarbeiter zwischen Kunde und CA sitzen und DSGVO-konforme Verträge sicherstellen.
Deutschsprachiger Support: Bei kritischen Vorfällen (etwa kurzfristigen Revocations) ist Support in der Landessprache ein realer Vorteil. Cloudflare und Let’s Encrypt bieten in der Regel ausschließlich englischsprachigen Community-Support, GlobalSign und LEMARIT dagegen direkten deutschsprachigen Service.
Branchenvorgaben: BaFin-regulierte Institute, KRITIS-Betreiber und öffentliche Auftraggeber haben oft konkrete Anforderungen an die genutzten CAs – die Wahl ist nicht immer frei.
eIDAS-Konformität: Wo qualifizierte Zertifikate (z. B. für elektronische Signaturen) benötigt werden, kommen praktisch nur GlobalSign, D-Trust oder vergleichbare europäische QTSPs infrage – das ACME-Protokoll wird hier eher seltener angeboten.
Direkt bei der CA. Möglich, aber operativ aufwendig: jeder Anbieter hat ein eigenes Portal, eigene Logik, eigene Rechnungsstellung. Bei mehreren CAs vervielfacht sich der Verwaltungsaufwand.
Über einen Reseller. Etwas einfacher als der Direktbezug, aber meist ohne tiefe Lifecycle-Integration. Vorteil: oft günstigere Preise.
Über einen Webhoster. Bequem für einfache Web-Anwendungen, aber selten Enterprise-tauglich. Reporting und Multi-CA-Strategien fehlen meistens.
Über einen Corporate Registrar mit CLM-Service. Hier sitzt ein spezialisierter Partner zwischen Ihnen und den CAs, übernimmt Beschaffung, Lifecycle-Management und Reporting – CA-neutral und mit einheitlicher Schnittstelle. Genau dieses Modell betreibt LEMARIT für nationale und internationale Konzernkunden.
Ja, das ist sogar einer der zentralen Vorteile des offenen ACME-Standards. Da das Protokoll standardisiert ist, lassen sich Anbieter ohne grundlegende Architekturänderung wechseln – meist genügt es, den ACME-Endpoint des Clients umzukonfigurieren. Bei Migrationen sollte allerdings auf eine Übergangsphase geachtet werden, in der beide Anbieter parallel betrieben werden.
Als Corporate Registrar arbeiten wir bewusst CA-neutral. LEMARIT agiert als Single-Point-of-Contact für alle ACME-kompatiblen Systeme in Ihrer Umgebung. Statt jeden Server, jede Anwendung und jede API einzeln mit einer Certificate Authority zu verdrahten, bündeln Sie alle Zertifikatsanfragen über einen LEMARIT-Endpoint. Darüber bestellen Sie automatisiert neue Zertifikate und erneuern bestehende.
Die Auswahl der Certificate Authority aus unseren Partner-CAs erfolgt bequem über das WebUI der LEMARIT.app. Ein Wechsel erfordert nur wenige Klicks – die Konfiguration Ihrer Endsysteme muss dabei nicht verändert werden. So wird der CA-Wechsel von einem Infrastruktur-Projekt zu einer strategischen Entscheidung.