ACME steht für "Automated Certificate Management Environment" und bezeichnet das in RFC 8555 standardisierte Protokoll der IETF zur vollautomatischen Ausstellung und Verlängerung von SSL-/TLS-Zertifikaten. Es regelt die Kommunikation zwischen einem Client beim Domain-Inhaber und einer Certificate Authority.

Wie funktionieren SSL-Zertifikate von ACME-Anbietern?

ACME-basierte Zertifikate funktionieren technisch identisch zu klassisch ausgestellten SSL-/TLS-Zertifikaten – sie sind genauso vertrauenswürdig und werden von allen gängigen Browsern akzeptiert. Der Unterschied liegt ausschließlich im Ausstellungsprozess: Statt manueller Beantragung läuft die gesamte Bestellung, Validierung und Erneuerung automatisiert über das ACME-Protokoll.

Welche Vorteile bieten SSL-Zertifikate von ACME-Diensten?

Sie kombinieren das volle Browser-Vertrauen klassischer Zertifikate mit den Effizienz- und Sicherheitsvorteilen automatisierter Prozesse: nahezu null operativer Aufwand pro Renewal, reduziertes Ausfallrisiko, häufigere Schlüsselrotation, automatische Audit-Trails und volle Skalierbarkeit auf zukünftige Laufzeitverkürzungen.

Ja. ACME ist ein IETF-Standard, der von einer großen Community begutachtet wurde. Die zugrundeliegende Kryptographie basiert auf etablierten Verfahren. In der Praxis ist ein korrekt implementierter ACME-Workflow sicherer als manuelle Prozesse, weil er menschliche Fehler – insbesondere vergessene Verlängerungen und veraltete Schlüssel – eliminiert.

Das ACME-Protokoll selbst ist kostenlos und offen. Kosten entstehen je nach gewählter Certificate Authority: Let's Encrypt, ZeroSSL und Buypass bieten kostenlose DV-Zertifikate per ACME. Kommerzielle Anbieter wie SSL.com, DigiCert, Sectigo oder GlobalSign bieten OV- und EV-Zertifikate gegen Gebühr – ebenfalls per ACME.

Brauche ich technisches Know-how, um ACME zu nutzen?

Für kleine Setups (ein bis zwei Server) reicht ein ACME-Client wie Certbot in Verbindung mit der Standard-Dokumentation. Für Enterprise-Umgebungen mit vielen Domains, mehreren CAs und produktiven Anwendungen ist eine professionelle Plattform in der Regel die wirtschaftlich sinnvollere Wahl. LEMARIT Certificate Automation bietet hier eine Zertifikatsautomatisierungs-Plattform mit ACME-Endpoint und entwicklerfreundlicher REST-API.

Welcher ACME-Client ist der richtige?

Für Linux-Webserver ist Certbot der Klassiker, acme.sh die flexibelste Variante. Für Kubernetes-Cluster ist cert-manager der etablierte Standard. Für Windows-Umgebungen ist win-acme verbreitet, für Go-basierte Setups lego. Reverse Proxies wie Caddy und Traefik bringen ACME bereits integriert mit.

Cyber resilience
for your domain landscape

ACME steht für „Automated Certificate Management Environment” – ein offenes Protokoll der IETF (RFC 8555), das die vollautomatische Beantragung und Verlängerung von SSL-/TLS-Zertifikaten ermöglicht. Mit der Verkürzung der Zertifikatslaufzeit auf 200 Tage ist ACME für jedes Unternehmen mit nennenswertem Domain-Portfolio zur Schlüsseltechnologie geworden. Dieser Beitrag erklärt in unter fünf Minuten, was ACME bedeutet, wie es funktioniert und welche konkreten Vorteile es bringt.

Sie kennen ACME bereits und suchen eine Managed-Lösung?

Werfen Sie einen Blick auf unser automatisiertes Zertifikatsmanagement

SSL automatisch verlängern

Inhalte

ACME Bedeutung – die kurze Definition

ACME ist die Abkürzung für „Automated Certificate Management Environment”. Es handelt sich um ein im RFC 8555 standardisiertes Kommunikationsprotokoll zwischen einem Client (auf der Seite des Domain-Inhabers) und einer Certificate Authority (CA). Der Zweck: die maschinelle, vollautomatische Ausstellung, Validierung und Verlängerung digitaler Zertifikate – ohne menschliches Eingreifen.

Ursprünglich entwickelt wurde ACME von der Internet Security Research Group (ISRG) im Rahmen des Let’s-Encrypt-Projekts. Inzwischen ist ACME ein offener Standard, der von zahlreichen kommerziellen und kostenlosen Zertifizierungsstellen unterstützt wird – darunter Let’s Encrypt, SSL.com, DigiCert, Sectigo, GlobalSign, Entrust, ZeroSSL und Buypass.

Wie funktioniert ACME? Der Ablauf in fünf Schritten

Der ACME-Workflow lässt sich auf fünf einfache Schritte herunterbrechen. Genau diese Standardisierung macht das Protokoll so leistungsfähig.

Schritt 1 – Account-Registrierung beim CA

Der ACME-Client erzeugt ein Schlüsselpaar und registriert sich damit bei der Zertifizierungsstelle. Dieser Account ist die dauerhafte Identität, über die später alle Zertifikatsanträge laufen.

Schritt 2 – Zertifikatsantrag (Order)

Der Client schickt eine Bestellung, in der die gewünschten Domain-Namen aufgelistet sind. Die CA antwortet mit den notwendigen Aufgaben („Authorizations”) und schlägt verschiedene Validierungsmethoden vor – die sogenannten ACME-Challenges.

Schritt 3 – Challenge-Validierung

Der Client beweist, dass er die Kontrolle über die betroffenen Domains besitzt. Üblich sind drei Validierungsverfahren:

DNS-01 – Veröffentlichung eines speziellen TXT-Eintrags im DNS.
HTTP-01 – Ablage einer Token-Datei auf dem Webserver.
TLS-ALPN-0 – Antwort über das TLS-Protokoll auf Port 443.

Welche Challenge sich für welchen Anwendungsfall eignet, vertiefen wir in der Cluster-Page [ACME-Challenges erklärt].

Schritt 4 – Zertifikatsausstellung

Sobald die Challenge erfolgreich war, signiert die CA den Certificate Signing Request (CSR) des Clients und stellt das Zertifikat aus. Der Vorgang dauert in der Regel wenige Sekunden bis Minuten.

Schritt 5 – Verlängerung und Erneuerung

Lange vor Ablauf wiederholt der Client den Prozess automatisch. Das ist der entscheidende Punkt: Was bei manuellen Prozessen eine Erinnerung im Kalender erfordert, läuft mit ACME als selbstverständliche Routine.

Welche Vorteile bietet ACME konkret?

Mit der Entscheidung des CA/Browser Forums, der maßgeblichen Instanz für die Ausstellung öffentlicher SSL-/TLS-Zertifikate, ist eine schrittweise Verkürzung der maximalen Zertifikatslaufzeit längst beschlossene Sache. Der erste große Schritt ist bereits vollzogen: Seit diesem Jahr beträgt die Maximallaufzeit eines öffentlich vertrauenswürdigen Zertifikats nur noch 200 Tage. Am 1. Oktober 2026 schlägt die Stunde der Wahrheit: Erstmals müssen Unternehmen Zertifikate mit der stark verkürzten Laufzeit operativ erneuern – und das nicht einmalig, sondern fortlaufend, zweimal pro Jahr und Zertifikat.

Was bisher ein planbarer Wartungstermin pro Jahr war, wird damit zur Daueraufgabe. Für Unternehmen mit 50, 500 oder 5.000 Zertifikaten bedeutet das eine Verdopplung – bei zukünftigen Stufen sogar eine Vervielfachung – des Aufwands. Eine manuelle Bearbeitung ist unter diesen Bedingungen weder wirtschaftlich noch sicher.

Warum verkürzen die Browserhersteller die Laufzeit?

Die Begründung des CA/Browser Forums ist sicherheitspolitisch motiviert. Kürzere Laufzeiten begrenzen das Schadenspotenzial kompromittierter Schlüssel, reduzieren die Abhängigkeit von langfristig korrekt gepflegten Zertifikats-Sperrlisten und beschleunigen die flächendeckende Einführung neuer Kryptographie-Standards. Aus Sicht der Browser ist das ein Gewinn an Sicherheit. Aus Sicht der Unternehmen ist es ein Gewinn an Komplexität – wenn man nicht automatisiert.

SSL, TLS, ACME: Die wichtigsten Begriffe schnell erklärt

Bevor wir in die Lösung gehen, ein kurzer Blick auf die Grundlagen. Wer diese Begriffe sauber unterscheidet, trifft im Tagesgeschäft die besseren Entscheidungen.

Was ist ein SSL-/TLS-Zertifikat?

Ein SSL-/TLS-Zertifikat ist ein digitales Dokument, das die Identität eines Servers an einen öffentlichen kryptographischen Schlüssel bindet. Es wird von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, kurz CA) ausgestellt und ermöglicht den verschlüsselten Aufbau einer HTTPS-Verbindung. Auch wenn der Begriff „SSL” weit verbreitet ist, basiert die heutige Verschlüsselung auf dem moderneren Nachfolgeprotokoll TLS (Transport Layer Security). Im Sprachgebrauch werden beide Begriffe meist synonym verwendet.

Welche Arten von Zertifikaten gibt es?

In Unternehmen kommen drei Validierungsstufen zum Einsatz:

Domain Validation (DV): schnelle, automatisierte Ausstellung, geeignet für nicht-kritische Subdomains.
Organization Validation (OV): zusätzliche Prüfung der Organisation, Standard für Unternehmens-Websites.
Extended Validation (EV): umfangreichste Prüfung der juristischen Identität, häufig für E-Commerce, Banking und kritische Geschäftsanwendungen.

Hinzu kommen technische Varianten wie Wildcard-Zertifikate, SAN-/Multi-Domain-Zertifikate sowie interne Zertifikate aus einer privaten PKI – jede Variante mit eigenen Lifecycle-Anforderungen.

Was ist ACME – und warum ist es jetzt unverzichtbar?

ACME bedeutet „Automated Certificate Management Environment” und bezeichnet einen offenen, im RFC 8555 standardisierten IETF-Standard für die maschinelle Beantragung, Validierung und Verlängerung von SSL-/TLS-Zertifikaten. ACME stammt ursprünglich aus dem Umfeld von Let’s Encrypt, ist heute aber das De-facto-Protokoll für die Automatisierung des Zertifikatslebenszyklus – auch bei kommerziellen Certificate Authorities wie SSL.com, DigiCert, Sectigo, GlobalSign und Entrust.

Konkret bedeutet ACME: Ein ACME-Client (oder ein zentraler Agent) authentifiziert sich gegenüber der CA, beweist die Kontrolle über die jeweilige Domain über eine sogenannte ACME-Challenge – typischerweise DNS-01, HTTP-01 oder TLS-ALPN-01 – und erhält im Anschluss ein gültiges Zertifikat, ohne menschliches Zutun. Genau dieser Mechanismus skaliert in einer Welt von 200-, 100- oder 47-Tage-Zertifikaten.

Tiefer einsteigen: Lesen Sie unsere Detail-Guides zu ACME-Challenges (DNS-01, HTTP-01, TLS-ALPN-01) und den wichtigsten ACME-Clients.

Die wahren Kosten manueller Zertifikatsverlängerung

Viele Organisationen unterschätzen, wie teuer manuelle Prozesse tatsächlich sind – nicht nur in Personenstunden, sondern in Reputations- und Compliance-Risiko.

Operative Risiken

Ein abgelaufenes Zertifikat führt in der Praxis nicht zu einer dezenten Warnung, sondern zu einem harten Bruch. Browser blockieren den Aufruf, E-Mail-Gateways verwerfen Zustellungen, API-Integrationen brechen ab, Mobile Apps verlieren die Verbindung zum Backend. Selbst kurze Ausfälle führen zu messbaren Umsatzeinbußen, internen Eskalationen und externen Vertrauensverlusten. Branchen wie Banking, Versicherungen, E-Commerce und Logistik haben in den letzten Jahren öffentlichkeitswirksame Ausfälle erlebt, die auf nichts anderes als ein vergessenes Zertifikat zurückgingen.

Versteckte Personalkosten

Selbst wenn nichts ausfällt: Jedes manuelle Renewal kostet Zeit. Erfahrungswerte zeigen einen Aufwand zwischen 30 Minuten und mehreren Stunden pro Zertifikat – inklusive Beantragung, Validierung, Rollout, Tests und Dokumentation. Bei zwei Renewals pro Jahr und 500 Zertifikaten ergibt das schnell mehrere hundert Personentage – und damit Kosten, die in keinem Verhältnis zum operativen Nutzen stehen.

Compliance- und Audit-Anforderungen

ISO 27001, BSI IT-Grundschutz, DORA, NIS-2, branchenspezifische Vorgaben wie PCI DSS oder TISAX – sie alle erwarten lückenlose Nachweise zum Lebenszyklus kryptographischer Schlüssel. Eine in Excel-Tabellen geführte Zertifikatsverwaltung erfüllt diese Anforderungen in der Regel nicht mehr. Auditoren erwarten zentrale Übersichten, revisionssichere Logs und definierte Eskalationsprozesse.

Automatisierte SSL-Verlängerung mit LEMARIT

LEMARIT ist seit über 20 Jahren spezialisierter Corporate Registrar und betreut nationale wie internationale Unternehmen bei Domain-, DNS- und Zertifikats-Management. Unsere Plattform für automatisierte SSL-/TLS-Verlängerung verbindet die Effizienz von ACME mit den Anforderungen großer Konzern-Umgebungen.

Was unsere Lösung leistet

Wir übernehmen die End-to-End-Verantwortung für den Zertifikatslebenszyklus – vom initialen Inventar Ihrer bestehenden Zertifikate über die Implementierung der ACME-basierten Erneuerung bis zur kontinuierlichen Überwachung. Konkret bedeutet das:

Zentrale Inventur: Vollständige Erfassung aller eingesetzten Zertifikate – sichtbar, nicht versteckt im Tagesgeschäft.
Automatisierte Verlängerung: ACME-basierte Renewals, abgestimmt auf Ihre CA-Strategie und Ihre internen Validierungsregeln.
Multi-CA-fähig: Sie behalten die freie Wahl Ihrer Zertifizierungsstelle und vermeiden Vendor-Lock-in.
Proaktives Monitoring: Schwellenwert-basierte Alerts und Health-Checks für jedes einzelne Zertifikat.
Audit-Trail: Lückenlose Protokollierung jedes Lifecycle-Events für Ihre Compliance-Berichte.
Persönlicher Service: Feste Ansprechpartner statt Ticket-Lotterie – wir kennen Ihre Umgebung.

Für wen ist die Lösung gemacht?

Unsere Kunden sind in der Regel mittelständische bis große Unternehmen mit einem Zertifikats-Portfolio ab etwa 50 aktiven Zertifikaten, häufig deutlich darüber. Sie betreiben kritische Web-Anwendungen, E-Commerce-Plattformen, API-Landschaften, mobile Dienste oder regulierte Infrastrukturen, bei denen ein Ausfall nicht akzeptabel ist. Branchenfokus: Finanzdienstleistung, Industrie, Energie, Pharma, Handel, öffentliche Hand.

Wie läuft die Einführung ab?

Der typische Onboarding-Pfad ist klar strukturiert und in der Regel innerhalb weniger Wochen produktiv:

Discovery & Inventur – Wir verschaffen Transparenz über Ihren aktuellen Bestand.
Architektur-Workshop – Wir definieren CA-Strategie, ACME-Topologie und Rollout-Pfade.
Pilotbetrieb – Wir starten mit einer abgegrenzten Domain-Gruppe.
Roll-out – Wir überführen den gesamten Bestand in den automatisierten Prozess.
Managed Operations – Wir betreiben und überwachen den Service – Sie behalten die Kontrolle.

Beratungsgespräch vereinbaren

SSL-Automatisierung vs. manuelles Management im Vergleich

Kriterium

Aufwand pro Renewal

Frequenz ab 2026

Ausfallrisiko durch Ablauf

Audit-Tauglichkeit

Skalierbarkeit auf 100-/47-Tage-Zertifikate

Ressourcenbindung im IT-Team

Manuell

30–240 Minuten

2x pro Jahr und Zertifikat

hoch

abhängig von Disziplin

nicht praktikabel

dauerhaft hoch

Automatisiert (LEMARIT + ACME)

nahezu 0 Minuten

unbegrenzt skalierbar

minimiert durch proaktives Monitoring

revisionssicher per Default

zukunftssicher

freigestellt für strategische Themen

Häufige Fragen (FAQ) zur SSL-Automatisierung

Ab wann gilt die neue 200-Tage-Regel für SSL-Zertifikate?

Die maximale Laufzeit öffentlich vertrauenswürdiger SSL-/TLS-Zertifikate wurde im Jahr 2026 auf 200 Tage verkürzt. Erstmals greifbar wird die Regel für viele Unternehmen am 1. Oktober 2026, wenn die ersten Bestandszertifikate mit dieser Laufzeit erneuert werden müssen. Weitere Verkürzungsstufen auf rund 100 Tage und später etwa 47 Tage sind in den Folgejahren geplant.

Was ist ACME und warum ist es wichtig?

ACME (Automated Certificate Management Environment) ist ein im RFC 8555 standardisiertes Protokoll für die automatisierte Ausstellung, Validierung und Verlängerung von SSL-/TLS-Zertifikaten. Es erlaubt Servern, Zertifikate ohne menschliches Zutun zu erneuern. Mit den verkürzten Laufzeiten wird ACME zum De-facto-Standard für jedes professionelle Certificate Lifecycle Management.

Kann ich SSL-Zertifikate auch ohne ACME automatisieren?

Theoretisch ja – über CA-spezifische APIs, Skripte oder kommerzielle CLM-Tools. Praktisch hat sich ACME als offener, herstellerunabhängiger Standard durchgesetzt und bietet die größte Interoperabilität. Eine Automatisierung außerhalb von ACME ist möglich, aber meistens teurer im Betrieb und schlechter wartbar.

Welche Zertifikate kann LEMARIT automatisiert verlängern?

LEMARIT automatisiert öffentlich vertrauenswürdige DV-, OV- und EV-Zertifikate sowie SAN- und Wildcard-Varianten – über mehrere kommerzielle Certificate Authorities hinweg. Auf Wunsch integrieren wir auch private PKIs Ihrer Organisation für interne Anwendungen.

Was passiert, wenn ein Zertifikat trotz Automatisierung abläuft?

Unser Monitoring schlägt deutlich vor Ablauf Alarm und eskaliert nach definierten Regeln an Ihre und unsere Bereitschaft. Sollte ein automatischer Renewal-Versuch scheitern – z. B. wegen einer DNS-Fehlkonfiguration – greift ein manueller Eskalationspfad lange vor dem tatsächlichen Ablaufdatum.

Müssen wir unsere Certificate Authority wechseln?

Nein. LEMARIT ist bewusst CA-neutral. Sie behalten Ihre bestehenden Verträge, profitieren aber von einer einheitlichen Automatisierungsschicht über alle CAs hinweg.

Welche Rolle spielt DNS bei der SSL-Automatisierung?

Eine zentrale. Die meisten ACME-Validierungen in Unternehmensumgebungen laufen über die DNS-01-Challenge. Ein professionell betriebenes DNS – idealerweise mit API-Zugriff für die ACME-Komponenten – ist daher Voraussetzung. LEMARIT betreibt als Corporate Registrar diese Infrastruktur seit über zwei Jahrzehnten produktiv.

Ist SSL-Automatisierung mit ISO 27001 und NIS2 vereinbar?

Ja, im Gegenteil: Eine automatisierte, protokollierte Verlängerung ist in der Regel deutlich besser auditfähig als manuelle Prozesse. Unsere Plattform liefert die für ISO 27001, NIS2, DORA und vergleichbare Anforderungen relevanten Nachweise out of the box.

Welche Aufwände sparen wir mit der Automatisierung wirklich?

Erfahrungswerte aus Kundenprojekten zeigen Aufwandsreduktionen von 70 – 95 Prozent im operativen Zertifikatsmanagement. Die freiwerdenden Ressourcen stehen für strategische Themen wie Zero-Trust-Architekturen, Post-Quantum-Kryptographie oder neue Geschäftsanwendungen zur Verfügung.

Wie lange dauert die Einführung?

Je nach Größe und Heterogenität der Umgebung sind 4 – 12 Wochen bis zum produktiven Betrieb realistisch. Der Pilot startet typischerweise bereits nach 2 – 3 Wochen.

Weiterführende Inhalte

Was ändert sich mit der 200-Tage-Regel konkret im Tagesgeschäft?

ACME-Protokoll im Detail – DNS-01- vs. HTTP-01-Challenge

Certificate Lifecycle Management (CLM) für den Mittelstand

Wildcard- vs. SAN-Zertifikate: Wann lohnt sich was?

ISO 27001, NIS2 und SSL: Was Auditoren erwarten

Post-Quantum-Kryptographie: Was kommt nach RSA und ECC?

OCSP, CRL und Revocation: Wie Sperrlisten funktionieren

Private vs. Public PKI – Wann brauchen Sie welche?

Bereit, Ihre SSL-Verlängerung zu automatisieren?

Die Frage ist nicht mehr, ob Sie automatisieren – sondern wann. Mit jedem Renewal-Zyklus, den Sie noch manuell durchlaufen, riskieren Sie Ausfälle und binden wertvolle IT-Ressourcen.

Lassen Sie uns gemeinsam einen Plan entwickeln, der zu Ihrer Umgebung passt – herstellerneutral, persönlich, planbar.

Solutions

Corporate Domain Services

Monitoring & Enforcement

Security & Technical Services

Registry & dotBRAND Services

For your area

Legal Department

Marketing

IT & Infrastructure

Cybersecurity

Why LEMARIT

Our Mission

Our Experts

Career

Next step? We are looking for experts to join our team

Resources

Insights

Webinars

Latest Insights

Küchenthal remains a member of the DENIC eG Board of Directors

Cyber resiliencefor your domain landscape