Was ist eine ACME-Challenge?

Eine ACME-Challenge ist ein im RFC 8555 standardisiertes Verfahren, mit dem ein Client gegenüber der Certificate Authority die Kontrolle über eine Domain nachweist. Erst nach erfolgreicher Challenge stellt die CA ein SSL-/TLS-Zertifikat aus. Der ACME-Standard kennt drei produktive Challenge-Typen: HTTP-01, DNS-01 und TLS-ALPN-01.

Was ist der Unterschied zwischen HTTP-01 und DNS-01?

HTTP-01 validiert über eine Token-Datei auf dem Webserver auf Port 80, DNS-01 validiert über einen TXT-Eintrag im DNS. HTTP-01 ist einfacher einzurichten, funktioniert aber nicht für Wildcard-Zertifikate und nicht für interne Server. DNS-01 ist flexibler und Enterprise-tauglich, setzt aber einen Zugriffspfad auf DNS-Updates voraus.

Welche ACME-Challenge ist für Wildcard-Zertifikate notwendig?

Wildcard-Zertifikate wie *.example.com können ausschließlich über DNS-01 validiert werden. Weder HTTP-01 noch TLS-ALPN-01 unterstützen Wildcards – das ist eine bewusste Festlegung im ACME-Standard.

Welche DNS-Provider unterstützen ACME?

Praktisch alle namhaften DNS-Anbieter bieten inzwischen ACME-kompatible APIs an. Zu den am häufigsten genutzten gehören AWS Route 53, Cloudflare DNS, Azure DNS, Google Cloud DNS, Hetzner DNS, DigitalOcean, OVH und Gandi. Für on-premise BIND-Setups ist die Validierung über RFC 2136 mit TSIG-Authentifizierung etabliert. Entscheidend ist in allen Fällen die Granularität der Schreibrechte.

Was ist das DCV-Zonen-Konzept?

Das DCV-Zonen-Konzept (auch CNAME-Delegation) ist eine Sicherheits-Architektur für DNS-01 und verwandte Validierungs-Verfahren: Statt dem Validierungs-Client Schreibrechte auf Ihre produktive DNS-Zone zu geben, werden die Validierungs-Subnamespaces per CNAME-Eintrag auf einen dedizierten Validierungs-Namespace umgeleitet. Pro Partner-CA wird ein eigener CNAME benötigt, weil die Prefixes CA-spezifisch sind – _acme-challenge bei ACME, _dnsauth bei DigiCert, dynamisch bei Sectigo. Alle Validierungs-Updates passieren auf dem Delegations-Namespace, Ihre Hauptzone bleibt strukturell unerreichbar. LEMARIT Certificate Automation setzt dieses Konzept architektonisch um – liegt Ihre DNS-Zone bei LEMARIT, automatisiert die LEMARIT.app das CNAME-Setup vollständig und entfernt nicht mehr benötigte Einträge auch wieder. Bei externer DNS-Hostung erhalten Sie die nötigen Einträge im Onboarding.

Ist DNS-01 sicherer als HTTP-01?

Beide Methoden sind bei korrekter Implementierung sicher. DNS-01 hat in Enterprise-Umgebungen Sicherheitsvorteile, weil Port 80 nicht offen sein muss und interne Hosts nicht aus dem öffentlichen Internet erreichbar sein müssen. Der Schutz der DNS-Schreibrechte ist dabei kritisch und sollte über Vault-Lösungen oder ein DCV-Zonen-Konzept architektonisch eingeschränkt werden.

Was ist TLS-ALPN-01 und wann brauche ich es?

TLS-ALPN-01 validiert über einen speziellen ALPN-Handshake auf Port 443. Es eignet sich, wenn weder Port 80 noch eine DNS-Update-Schnittstelle zur Verfügung stehen – typischerweise in Edge-Devices, IoT-Gateways oder bei gehärteten Reverse-Proxy-Setups mit Caddy oder Traefik. In Standard-Enterprise-Umgebungen ist es selten die erste Wahl.

Was sind CAA-Records und sollte ich sie setzen?

CAA-Records (Certification Authority Authorization) sind DNS-Einträge, die festlegen, welche Certificate Authorities überhaupt Zertifikate für Ihre Domain ausstellen dürfen. Sie sind ein wichtiges Sicherheits-Element gegen unautorisierte Zertifikatsausstellung und sollten in jeder ernsthaften ACME-Umgebung gesetzt sein.

Kann ich verschiedene ACME-Challenges kombinieren?

Ja. Viele Enterprise-Setups nutzen DNS-01 als Standard und HTTP-01 als Fallback – oder umgekehrt. Die meisten produktiven ACME-Clients unterstützen Multi-Challenge-Strategien. In der Praxis empfiehlt es sich, eine primäre Methode festzulegen und Fallbacks nur dort einzurichten, wo sie nachweislich gebraucht werden.

Cyber resilience
for your domain landscape

ACME steht für „Automated Certificate Management Environment” – ein offenes Protokoll der IETF (RFC 8555), das die vollautomatische Beantragung und Verlängerung von SSL-/TLS-Zertifikaten ermöglicht. Mit der Verkürzung der Zertifikatslaufzeit auf 200 Tage ist ACME für jedes Unternehmen mit nennenswertem Domain-Portfolio zur Schlüsseltechnologie geworden. Dieser Beitrag erklärt in unter fünf Minuten, was ACME bedeutet, wie es funktioniert und welche konkreten Vorteile es bringt.

Sie kennen ACME bereits und suchen eine Managed-Lösung?

Werfen Sie einen Blick auf unser automatisiertes Zertifikatsmanagement

SSL automatisch verlängern

Inhalte

ACME Bedeutung – die kurze Definition

ACME ist die Abkürzung für „Automated Certificate Management Environment”. Es handelt sich um ein im RFC 8555 standardisiertes Kommunikationsprotokoll zwischen einem Client (auf der Seite des Domain-Inhabers) und einer Certificate Authority (CA). Der Zweck: die maschinelle, vollautomatische Ausstellung, Validierung und Verlängerung digitaler Zertifikate – ohne menschliches Eingreifen.

Ursprünglich entwickelt wurde ACME von der Internet Security Research Group (ISRG) im Rahmen des Let’s-Encrypt-Projekts. Inzwischen ist ACME ein offener Standard, der von zahlreichen kommerziellen und kostenlosen Zertifizierungsstellen unterstützt wird – darunter Let’s Encrypt, SSL.com, DigiCert, Sectigo, GlobalSign, Entrust, ZeroSSL und Buypass.

Wie funktioniert ACME? Der Ablauf in fünf Schritten

Der ACME-Workflow lässt sich auf fünf einfache Schritte herunterbrechen. Genau diese Standardisierung macht das Protokoll so leistungsfähig.

Schritt 1 – Account-Registrierung beim CA

Der ACME-Client erzeugt ein Schlüsselpaar und registriert sich damit bei der Zertifizierungsstelle. Dieser Account ist die dauerhafte Identität, über die später alle Zertifikatsanträge laufen.

Schritt 2 – Zertifikatsantrag (Order)

Der Client schickt eine Bestellung, in der die gewünschten Domain-Namen aufgelistet sind. Die CA antwortet mit den notwendigen Aufgaben („Authorizations”) und schlägt verschiedene Validierungsmethoden vor – die sogenannten ACME-Challenges.

Schritt 3 – Challenge-Validierung

Der Client beweist, dass er die Kontrolle über die betroffenen Domains besitzt. Üblich sind drei Validierungsverfahren:

DNS-01 – Veröffentlichung eines speziellen TXT-Eintrags im DNS.
HTTP-01 – Ablage einer Token-Datei auf dem Webserver.
TLS-ALPN-0 – Antwort über das TLS-Protokoll auf Port 443.

Welche Challenge sich für welchen Anwendungsfall eignet, vertiefen wir in der Cluster-Page [ACME-Challenges erklärt].

Schritt 4 – Zertifikatsausstellung

Sobald die Challenge erfolgreich war, signiert die CA den Certificate Signing Request (CSR) des Clients und stellt das Zertifikat aus. Der Vorgang dauert in der Regel wenige Sekunden bis Minuten.

Schritt 5 – Verlängerung und Erneuerung

Lange vor Ablauf wiederholt der Client den Prozess automatisch. Das ist der entscheidende Punkt: Was bei manuellen Prozessen eine Erinnerung im Kalender erfordert, läuft mit ACME als selbstverständliche Routine.

Welche Vorteile bietet ACME konkret?

Die wirtschaftlichen und sicherheitstechnischen Vorteile von ACME sind erheblich – und werden mit jeder weiteren Verkürzung der Zertifikatslaufzeit größer.

Operative Effizienz

Manuelle Beantragung, Validierung und Installation von Zertifikaten benötigt erfahrungsgemäß 30 Minuten bis mehrere Stunden je Zertifikat. Mit ACME sinkt der wiederkehrende Aufwand pro Renewal auf nahezu null – die Bearbeitung läuft im Hintergrund.

Reduziertes Ausfallrisiko

Ein Großteil aller produktionsrelevanten TLS-Ausfälle entsteht durch schlicht vergessene oder zu spät bearbeitete Verlängerungen. Ein korrekt eingerichteter ACME-Workflow eliminiert diese Fehlerquelle nahezu vollständig, weil Erneuerungen automatisch und mit ausreichendem Vorlauf laufen.

Skalierbarkeit auf 200, 100, 47 Tage

Mit der schrittweisen Verkürzung der Zertifikatslaufzeit – aktuell 200 Tage, geplant rund 100 Tage und später etwa 47 Tage – wird ACME nicht nur sinnvoll, sondern unverzichtbar. Manuelle Prozesse skalieren mit diesen Zyklen nicht mehr.

Sicherheitsvorteile

Häufigere Schlüsselrotation reduziert das Schadenspotenzial kompromittierter privater Schlüssel. ACME erlaubt es, neue Schlüssel routinemäßig bei jedem Renewal zu generieren – ein erheblicher Sicherheitsgewinn gegenüber manuellen Prozessen, in denen Schlüssel oft jahrelang unverändert in Umlauf bleiben.

Audit- und Compliance-Tauglichkeit

ACME-Prozesse erzeugen automatisch lückenlose Logs – ein klarer Vorteil gegenüber Tabellen-basiertem Zertifikatsmanagement. Für Anforderungen aus ISO 27001, NIS2, DORA, PCI DSS oder TISAX ist das ein Pluspunkt im Audit.

Herstellerunabhängigkeit

Da ACME ein offener Standard ist, sind Sie nicht an eine bestimmte CA gebunden. Sie können Anbieter wechseln, ohne Ihre Automatisierung neu aufzubauen – das schützt vor Vendor-Lock-in.

Wer nutzt ACME – und wofür?

ACME ist heute aus drei Anwendungsfeldern nicht mehr wegzudenken.

Webhoster und Cloud-Plattformen nutzen ACME, um ihren Kunden HTTPS-Zertifikate sekundenschnell und ohne Aufpreis bereitzustellen. Unternehmens-IT automatisiert mit ACME das Lifecycle-Management großer Zertifikats-Portfolios in produktiven Web-, API- und E-Mail-Umgebungen. DevOps-Teams integrieren ACME in CI/CD-Pipelines, sodass Zertifikate genauso behandelt werden wie jeder andere Infrastrukturbestandteil – als Code, versioniert und automatisiert.

Wo ACME an Grenzen stößt, ist meist nicht das Protokoll selbst, sondern die Reife der umgebenden Infrastruktur. Hier setzt eine professionelle Managed-Lösung wie die von LEMARIT an: bestehende Heterogenität wird in einen einheitlichen, betriebsfähigen Prozess überführt.

Sie möchten wissen, welche Software-Clients ACME unterstützen? → Übersicht der wichtigsten ACME-Clients

ACME im Unternehmen einführen – worauf kommt es an?

Die Einführung von ACME in einer Unternehmensumgebung unterscheidet sich erheblich vom Setup auf einem einzelnen Webserver. Drei Punkte sind in der Praxis entscheidend:

Erstens: DNS-Reife. Die meisten Enterprise-Validierungen laufen über DNS-01. Wer kein API-fähiges, professionell betriebenes DNS hat, bekommt Probleme. Zweitens: Inventarisierung. Ohne Wissen darüber, welche Zertifikate überhaupt im Einsatz sind, lässt sich kein Automatisierungsplan aufsetzen. Drittens: CA-Strategie. Je nach Validierungsstufe (DV, OV, EV) und Branche braucht es oft mehrere CAs parallel – mit jeweils unterschiedlichen ACME-Endpoints und Geschäftsbedingungen.

Genau diese drei Punkte sind die Komplexität, die manuelle Skripte typischerweise nicht abdecken – und der Grund, warum spätestens ab 50 Zertifikaten ein Managed Service wirtschaftlich sinnvoller ist als die Eigenentwicklung.

SSL-Zertifikate automatisch verlängern

Häufige Fragen (FAQ) zu ACME

Was bedeutet ACME?

ACME steht für „Automated Certificate Management Environment” und bezeichnet das in RFC 8555 standardisierte Protokoll der IETF zur vollautomatischen Ausstellung und Verlängerung von SSL-/TLS-Zertifikaten. Es regelt die Kommunikation zwischen einem Client beim Domain-Inhaber und einer Certificate Authority.

Wie funktionieren SSL-Zertifikate von ACME-Anbietern?

ACME-basierte Zertifikate funktionieren technisch identisch zu klassisch ausgestellten SSL-/TLS-Zertifikaten – sie sind genauso vertrauenswürdig und werden von allen gängigen Browsern akzeptiert. Der Unterschied liegt ausschließlich im Ausstellungsprozess: Statt manueller Beantragung läuft die gesamte Bestellung, Validierung und Erneuerung automatisiert über das ACME-Protokoll.

Welche Vorteile bieten SSL-Zertifikate von ACME-Diensten?

Sie kombinieren das volle Browser-Vertrauen klassischer Zertifikate mit den Effizienz- und Sicherheitsvorteilen automatisierter Prozesse. Konkret: nahezu null operativer Aufwand pro Renewal, deutlich reduziertes Ausfallrisiko, häufigere Schlüsselrotation, automatische Audit-Trails und volle Skalierbarkeit auf zukünftige Laufzeitverkürzungen.

Ist ACME sicher?

Ja. ACME ist ein IETF-Standard, der von einer großen Community begutachtet wurde. Die zugrundeliegende Kryptographie basiert auf etablierten Verfahren. In der Praxis ist ein korrekt implementierter ACME-Workflow sicherer als manuelle Prozesse, weil er menschliche Fehler – insbesondere vergessene Verlängerungen und veraltete Schlüssel – eliminiert.

Ist ACME kostenlos?

Das ACME-Protokoll selbst ist kostenlos und offen. Kosten entstehen je nach gewählter Certificate Authority: Let’s Encrypt, ZeroSSL und Buypass bieten kostenlose DV-Zertifikate per ACME. Kommerzielle Anbieter wie SSL.com, DigiCert, Sectigo oder GlobalSign bieten OV- und EV-Zertifikate gegen Gebühr – ebenfalls per ACME. Mehr dazu im Anbieter-Vergleich.

Brauche ich technisches Know-how, um ACME zu nutzen?

Für kleine Setups (ein bis zwei Server) reicht ein ACME-Client wie Certbot in Verbindung mit der Standard-Dokumentation. Für Enterprise-Umgebungen mit vielen Domains, mehreren CAs und produktiven Anwendungen ist eine professionelle Begleitung in der Regel die wirtschaftlich sinnvollere Wahl. LEMARIT bietet hier einen vollständig betreuten Managed Service.

Welcher ACME-Client ist der richtige?

Für Linux-Webserver ist Certbot der Klassiker, acme.sh die flexibelste Variante. Für Windows-Umgebungen ist win-acme verbreitet, für Go-basierte Setups lego. Reverse Proxies wie Caddy und Traefik bringen ACME bereits integriert mit. Eine ausführliche Übersicht finden Sie in unserer Cluster-Page ACME-Clients im Überblick.

Vom Verstehen zum Umsetzen

Sie haben jetzt das Grundverständnis – die nächste Frage ist, wie ACME konkret in Ihre Unternehmensumgebung passt. Genau dabei unterstützen wir Sie.

LEMARIT betreibt automatisierte Zertifikatsverlängerung als Managed Service: CA-neutral, ISO-27001-konform und mit persönlichem Ansprechpartner.

SSL-Zertifikate automatisch verlängern

©SARIPICTURE Sarah Domandl LEMARIT Stockfotos 0398 20260219

Weiterführende Inhalte

Pillar Page: SSL-Zertifikate automatisch verlängern

ACME-Challenges erklärt: DNS-01, HTTP-01 und TLS-ALPN-01

ACME-Anbieter im Vergleich: Let’s Encrypt, SSL.com, Cloudflare & Co.

Die wichtigsten ACME-Clients im Überblick

ACME einrichten: Schritt-für-Schritt-Anleitung

Solutions

Corporate Domain Services

Monitoring & Enforcement

Security & Technical Services

Registry & dotBRAND Services

For your area

Legal Department

Marketing

IT & Infrastructure

Cybersecurity

Why LEMARIT

Our Mission

Our Experts

Career

Next step? We are looking for experts to join our team

Resources

Insights

Webinars

Latest Insights

Küchenthal remains a member of the DENIC eG Board of Directors

Cyber resiliencefor your domain landscape