ACME-Anbieter im Vergleich: Let's Encrypt, SSL.com, DigiCert, Cloudflare & Co.

ACME ist ein offener Standard – aber die Anbieter dahinter unterscheiden sich erheblich. Kostenlose Dienste wie Let’s Encrypt eignen sich für viele Anwendungen, stoßen aber im Enterprise-Umfeld an Grenzen. Kommerzielle Certificate Authorities wie SSL.com, DigiCert, Sectigo, GlobalSign und Entrust bieten OV- und EV-Zertifikate, SLAs und Haftungssummen, die in regulierten Branchen unverzichtbar sind. Dieser Guide vergleicht die wichtigsten ACME-Anbieter und hilft Ihnen, die richtige Wahl zu treffen.

Sie wollen die Anbieter-Komplexität nicht selbst managen?

LEMARIT betreibt SSL-Automatisierung CA-neutral als Managed Service

Welche Anbieter bieten ACME-basierte SSL-Zertifikate?

Inzwischen unterstützen praktisch alle relevanten Certificate Authorities das ACME-Protokoll. Die Anbieter lassen sich grob in drei Gruppen einteilen: kostenlose CAs mit reiner DV-Validierung, kommerzielle CAs mit vollem Validierungsspektrum (DV/OV/EV) und Plattform-Anbieter wie Cloudflare, die ACME als Teil eines größeren Ökosystems anbieten.

Die Wahl hängt weniger vom Protokoll ab – das ist ja gerade der Vorteil eines offenen Standards – sondern von Faktoren wie Validierungsstufe, Browser-Trust, Haftung, SLA, Support, regulatorischer Anerkennung und Reporting-Fähigkeit. Genau diese Punkte schauen wir uns jetzt im Detail an.

Kostenlose ACME-Anbieter

Let's Encrypt – der Pionier

Let’s Encrypt ist der Auslöser der gesamten ACME-Bewegung. Betrieben von der Internet Security Research Group (ISRG), stellt es seit 2015 kostenlose DV-Zertifikate aus. Die Laufzeit beträgt 90 Tage – seit jeher kürzer als bei klassischen CAs, was Let’s Encrypt zur Vorreiter-Lösung für Automatisierung machte.

Stärken: Bewährter De-facto-Standard, große Community, exzellente Dokumentation, vollständig kostenlos, zuverlässige Infrastruktur.

Grenzen: Nur DV-Validierung – keine OV- oder EV-Zertifikate. Keine Haftungssumme, kein SLA, kein telefonischer Support. Rate-Limits können in größeren Setups stören.

Geeignet für: Webhoster, Open-Source-Projekte, kleinere Unternehmens-Websites, interne Anwendungen ohne formale Anforderungen.

ZeroSSL – die flexiblere Alternative

ZeroSSL bietet ebenfalls kostenlose DV-Zertifikate per ACME, allerdings mit etwas anderen Konditionen: höhere Rate-Limits in der kostenlosen Stufe und kostenpflichtige Tiers mit OV-Zertifikaten und Support.

Stärken: ACME-kompatibel, REST-API zusätzlich verfügbar, gute Ergänzung zu Let’s Encrypt als Failover.

Grenzen: Marktanteil deutlich kleiner als Let’s Encrypt, im Enterprise-Umfeld weniger etabliert.

Geeignet für: Setups, die Let’s Encrypt-Rate-Limits überschreiten oder einen zweiten kostenlosen ACME-Endpoint als Redundanz brauchen.

Buypass – der norwegische Anbieter

Buypass aus Norwegen bietet kostenlose ACME-Zertifikate mit 180-Tage-Laufzeit – länger als Let’s Encrypt – und ist im skandinavischen Raum etabliert. Auch hier nur DV-Validierung in der kostenlosen Stufe.

Stärken: Längere Laufzeit, europäischer Anbieter, ACME-kompatibel.

Grenzen: International weniger bekannt, kleinerer Marktanteil.

Geeignet für: Skandinavische und europäische Setups, die einen DV-Anbieter mit längeren Laufzeiten suchen.

Cloudflare – ACME im Plattform-Kontext

Cloudflare bietet zwei Varianten ACME-bezogener Zertifikate: zum einen die Edge-Zertifikate, die automatisch für jede über Cloudflare proxied Domain ausgestellt werden (transparent für den Kunden), zum anderen die Cloudflare Origin CA, deren Zertifikate per ACME bezogen werden können – allerdings nur für die Strecke zwischen Cloudflare-Edge und Ursprungs-Server, nicht für öffentliche Browser-Validierung.

Stärken: Tiefe Integration mit der Cloudflare-Plattform, einfaches Setup, kostenlos für Cloudflare-Kunden.

Grenzen: Cloudflare Origin CA ist nicht im Browser-Truststore enthalten – die Zertifikate funktionieren nur in der Cloudflare-eigenen Infrastruktur. Wer Zertifikate für Anwendungen außerhalb von Cloudflare braucht, kann diese Variante nicht nutzen.

Geeignet für: Setups, die vollständig hinter Cloudflare laufen und keine browser-vertrauenswürdigen Zertifikate auf dem Ursprung benötigen.

Kommerzielle ACME-Anbieter

SSL.com – ACME-Pionier im kommerziellen Segment

SSL.com war eine der ersten kommerziellen Certificate Authorities, die ACME flächendeckend unterstützt haben. Das Angebot reicht von DV über OV bis EV. Daneben gibt es das SSL.com ACME Free-Programm, das DV-Zertifikate mit ACME-Validierung kostenfrei bereitstellt – vergleichbar mit Let’s Encrypt, aber von einer kommerziellen CA mit voller Reporting-Infrastruktur.

Stärken: Volles Validierungsspektrum, kommerzielle SLAs, Haftungssummen, Reporting-Portal, IoT-Zertifikate, S/MIME-Zertifikate, dokumentenbasierte EV-Validierung mit telefonischer Verifizierung.

Grenzen: US-amerikanischer Anbieter – DSGVO und Auftragsverarbeitungsverträge müssen sauber geprüft werden.

Geeignet für: Unternehmen, die OV- oder EV-Zertifikate per ACME beziehen wollen, ohne den Anbieter wechseln zu müssen. Auch interessant als kommerzielle Free-Alternative zu Let’s Encrypt mit Reporting.

DigiCert – der Enterprise-Klassiker

DigiCert ist eine der weltweit größten kommerziellen Certificate Authorities. Über die DigiCert ONE-Plattform werden ACME-Endpoints für die meisten Produktlinien angeboten, inklusive OV, EV, S/MIME und Code-Signing-Zertifikate.

Stärken: Höchste Marktdurchdringung im Enterprise-Segment, umfangreiche Reporting- und Compliance-Funktionen, starke EV-Validierung, dedizierter Enterprise-Support.

Grenzen: Höhere Preise als die Volumen-Wettbewerber. ACME-Funktionalität teilweise abhängig vom gebuchten Tier.

Geeignet für: Großunternehmen mit komplexen Zertifikats-Anforderungen, regulierten Branchen, internationalen Setups.

Sectigo – der breit aufgestellte Anbieter

Sectigo (ehemals Comodo CA) ist eine der volumenstärksten CAs weltweit und bietet ACME-Endpoints für DV-, OV- und EV-Zertifikate. Über das Sectigo Certificate Manager (SCM)-Portal ist auch eine zentrale Lifecycle-Verwaltung möglich.

Stärken: Sehr breites Produktportfolio, attraktives Preis-Leistungs-Verhältnis, gute Reseller-Konditionen.

Grenzen: Geringere Premium-Wahrnehmung als DigiCert oder GlobalSign in regulierten Branchen.

Geeignet für: Mittelständische Unternehmen, Hoster, Reseller-Setups, breite Domain-Portfolios mit gemischten Anforderungen.

GlobalSign – die europäische Option

Stärken: EU-Anbieter, eIDAS-konforme Produkte (qualifizierte Zertifikate verfügbar), Fokus auf regulierte Branchen, deutschsprachiger Support.

Grenzen: Preisstruktur etwas höher als Sectigo, Funktionsumfang im ACME-Self-Service weniger umfangreich als bei DigiCert oder SSL.com.

Geeignet für: EU-Unternehmen mit Compliance-Fokus (NIS2, DORA), öffentliche Verwaltung, qualifizierte elektronische Signaturen.

GlobalSign ist ein in Europa stark vertretener Anbieter mit Hauptsitz in Belgien und Rechenzentren in der EU. ACME wird über die Atlas-Plattform und das Managed PKI Service-Portal unterstützt.

Entrust – die Bank-Wahl

Entrust ist traditionell stark im Banking-, Versicherungs- und Government-Segment und unterstützt ACME über das Entrust Certificate Services Portal. Der Fokus liegt klar auf hochregulierten Umgebungen.

Stärken: Sehr hohe Compliance-Kompetenz, starke Validierungsprozesse, Tools für PKI-Modernisierung, Post-Quantum-Roadmap.

Grenzen: Höchste Preisstufe, ACME-Implementierung teils restriktiver als bei Volumen-Anbietern.

Geeignet für: Banken, Versicherungen, kritische Infrastruktur, öffentliche Hand, hochregulierte Branchen.

Übersicht aller ACME-Anbieter im direkten Vergleich

Anbieter

Let’s Encrypt

ZeroSSL

Buypass

Cloudflare

SSL.com

DigiCert

Sectigo

GlobalSign

Entrust

DV

OV

EV

Kostenlos

EU-Server

Enterprise-SLA

Besonderheit

Pionier, Community-Standard
Flexible Free Tier
180-Tage-Laufzeit
Plattform-gebunden
ACME Free + EV
Marktführer Enterprise
Preis-Leistung
eIDAS-Optionen
Banking-Compliance

Kostenlos vs. kommerziell – die strategische Entscheidung

Die Entscheidung zwischen kostenlosen und kommerziellen ACME-Anbietern ist keine reine Preisfrage – sie ist eine Compliance-, Haftungs- und Reputationsfrage.

Wann kostenlose Anbieter ausreichen

Kostenlose ACME-Anbieter wie Let’s Encrypt sind für viele Anwendungsfälle vollkommen ausreichend: Marketing-Websites, Entwicklungsumgebungen, interne Tools, kleinere Webshops ohne besondere Compliance-Anforderungen. Die Browser-Vertrauenswürdigkeit ist identisch zu kommerziellen DV-Zertifikaten.

Wann kommerzielle Anbieter unverzichtbar werden

Sobald eines der folgenden Kriterien zutrifft, führt an einer kommerziellen CA praktisch kein Weg vorbei:
  • OV- oder EV-Validierung wird benötigt (E-Commerce über bestimmten Volumen, Banking, regulierte Dienste).
  • Vertraglich zugesicherte SLAs sind erforderlich – etwa bei kritischen API-Endpoints, an denen Vertragsstrafen hängen.
  • Haftungssummen spielen eine Rolle, weil das Geschäftsmodell darauf basiert.
  • Audit-Anforderungen verlangen einen vertraglich gebundenen Trust-Service-Provider mit Reporting-Schnittstellen.
  • Branchen-spezifische Vorgaben (eIDAS, NIS2, DORA, PCI DSS, TISAX) erfordern bestimmte CAs oder Validierungsstufen.
  • Domain-Portfolios mit >100 Zertifikaten profitieren von zentralen Lifecycle-Portalen, die kostenlose CAs nicht bieten.

Hybride Strategie als Best Practice

In der Praxis arbeiten viele Enterprise-Setups mit einer hybriden Strategie: kommerzielle OV-/EV-Zertifikate für externe, regulierte Anwendungen und kostenlose DV-Zertifikate für interne oder unkritische Dienste. Eine professionelle Automatisierungsplattform – wie der LEMARIT Managed Service – orchestriert beide Welten transparent.

ACME-Anbieter in Deutschland – worauf Sie achten sollten

Für deutsche Unternehmen kommen zur Anbieter-Wahl spezifische Anforderungen hinzu:

DSGVO und Datenresidenz: Bei vielen CAs werden Validierungsdaten in den USA verarbeitet. Wer das vermeiden will, sollte zu EU-zentrierten Anbietern wie GlobalSign oder Buypass greifen – oder zu Managed Services mit deutschem Sitz wie LEMARIT, die als Auftragsverarbeiter zwischen Kunde und CA sitzen und DSGVO-konforme Verträge sicherstellen.

Deutschsprachiger Support: Bei kritischen Vorfällen (etwa kurzfristigen Revocations) ist Support in der Landessprache ein realer Vorteil. Cloudflare und Let’s Encrypt bieten in der Regel ausschließlich englischsprachigen Community-Support, GlobalSign und LEMARIT dagegen direkten deutschsprachigen Service.

Branchenvorgaben: BaFin-regulierte Institute, KRITIS-Betreiber und öffentliche Auftraggeber haben oft konkrete Anforderungen an die genutzten CAs – die Wahl ist nicht immer frei.

eIDAS-Konformität: Wo qualifizierte Zertifikate (z. B. für elektronische Signaturen) benötigt werden, kommen praktisch nur GlobalSign, D-Trust oder vergleichbare europäische QTSPs infrage – das ACME-Protokoll wird hier eher seltener angeboten.

Wo kaufe ich SSL-Zertifikate für mein Unternehmen?

Die Bezugswege haben sich in den letzten Jahren ausdifferenziert. Es gibt vier sinnvolle Pfade:

Direkt bei der CA. Möglich, aber operativ aufwendig: jeder Anbieter hat ein eigenes Portal, eigene Logik, eigene Rechnungsstellung. Bei mehreren CAs vervielfacht sich der Verwaltungsaufwand.

Über einen Reseller. Etwas einfacher als der Direktbezug, aber meist ohne tiefe Lifecycle-Integration. Vorteil: oft günstigere Preise.

Über einen Webhoster. Bequem für einfache Web-Anwendungen, aber selten Enterprise-tauglich. Reporting und Multi-CA-Strategien fehlen meistens.

Über einen Corporate Registrar mit CLM-Service. Hier sitzt ein spezialisierter Partner zwischen Ihnen und den CAs, übernimmt Beschaffung, Lifecycle-Management und Reporting – CA-neutral und mit einheitlicher Schnittstelle. Genau dieses Modell betreibt LEMARIT für nationale und internationale Konzernkunden.

Häufige Fragen (FAQ) zum ACME-Setup

Welcher ACME-Anbieter ist der beste?

„Der beste“ Anbieter hängt von Ihren Anforderungen ab. Für reine Browser-Vertrauenswürdigkeit auf nicht-kritischen Diensten ist Let’s Encrypt vollkommen ausreichend. Für OV-/EV-Validierung, vertraglich gesicherte SLAs und regulatorische Anforderungen sind kommerzielle CAs wie DigiCert, SSL.com, Sectigo, GlobalSign oder Entrust die richtige Wahl. Für deutsche Unternehmen mit Compliance-Fokus sind GlobalSign und Managed Services wie LEMARIT besonders relevant.
SSL.com ACME Free ist ein kostenfreies Programm der kommerziellen Certificate Authority SSL.com, das DV-Zertifikate via ACME-Protokoll bereitstellt – ähnlich wie Let’s Encrypt. Der Vorteil gegenüber Let’s Encrypt: ein vollständiges Reporting-Portal, kommerzielle Infrastruktur und die einfache Migration auf bezahlte OV-/EV-Zertifikate desselben Anbieters, falls später Bedarf entsteht.
Ja, Cloudflare bietet ACME-Zertifikate im Rahmen der Cloudflare Origin CA an. Diese Zertifikate funktionieren allerdings ausschließlich für die Verbindung zwischen Cloudflare-Edge und Ursprungsserver – sie sind nicht browser-vertrauenswürdig. Für die öffentliche HTTPS-Verbindung nutzt Cloudflare separate, eigene Edge-Zertifikate. Wer browser-vertrauenswürdige Zertifikate auf dem Ursprung braucht, sollte zu Let’s Encrypt, SSL.com oder einer kommerziellen CA greifen.
Aus rein technischer Sicht ja: Die Kryptographie ist identisch, das Browser-Vertrauen ebenfalls. Der Unterschied liegt in der Validierungstiefe (DV vs. OV/EV), in vertraglichen Zusicherungen wie SLAs und Haftungssummen sowie in der Verfügbarkeit von Support, Reporting und Audit-Schnittstellen. Für regulierte oder geschäftskritische Anwendungen sind diese kommerziellen Komponenten entscheidend.
Für deutsche Unternehmen mit Compliance-Anforderungen sind europäische Anbieter wie GlobalSign (Belgien) und Buypass (Norwegen) gut geeignet. Wer Wert auf deutschsprachigen Service und DSGVO-konforme Auftragsverarbeitung legt, fährt mit einem deutschen Managed-Service-Partner wie LEMARIT am besten – dieser kann mehrere CAs vereinen und die regulatorische Komplexität abnehmen.

Ja, das ist sogar einer der zentralen Vorteile des offenen ACME-Standards. Da das Protokoll standardisiert ist, lassen sich Anbieter ohne grundlegende Architekturänderung wechseln – meist genügt es, den ACME-Endpoint des Clients umzukonfigurieren. Bei Migrationen sollte allerdings auf eine Übergangsphase geachtet werden, in der beide Anbieter parallel betrieben werden.

In Enterprise-Umgebungen ist eine Multi-CA-Strategie mit zwei bis drei Anbietern üblich – einer für DV (oft Let’s Encrypt oder SSL.com Free), einer für OV/EV (DigiCert, GlobalSign oder Sectigo) und gegebenenfalls eine Backup-CA für Ausfallszenarien. Diese Strategie minimiert das Risiko, dass die Kompromittierung oder der Ausfall einer einzelnen CA die gesamte Zertifikatslandschaft beeinträchtigt.
Für Portfolios ab etwa 50 Zertifikaten oder mehreren parallel genutzten CAs lohnt sich der Bezug über einen spezialisierten Corporate Registrar mit Certificate Lifecycle Management. Dieser konsolidiert Beschaffung, Verlängerung, Monitoring und Reporting über alle CAs hinweg in einer Schnittstelle – das spart deutlich Aufwand gegenüber dem Direktbezug bei jeder CA einzeln.

Die LEMARIT-Sicht: Ein ACME-Endpoint, beliebige Partner-CAs

Als Corporate Registrar arbeiten wir bewusst CA-neutral. LEMARIT agiert als Single-Point-of-Contact für alle ACME-kompatiblen Systeme in Ihrer Umgebung. Statt jeden Server, jede Anwendung und jede API einzeln mit einer Certificate Authority zu verdrahten, bündeln Sie alle Zertifikatsanfragen über einen LEMARIT-Endpoint. Darüber bestellen Sie automatisiert neue Zertifikate und erneuern bestehende.

Die Auswahl der Certificate Authority aus unseren Partner-CAs erfolgt bequem über das WebUI der LEMARIT.app. Ein Wechsel erfordert nur wenige Klicks – die Konfiguration Ihrer Endsysteme muss dabei nicht verändert werden. So wird der CA-Wechsel von einem Infrastruktur-Projekt zu einer strategischen Entscheidung.

Vom Vergleich zur Entscheidung

Wir helfen Ihnen, aus der Anbieter-Komplexität eine schlanke, betriebstaugliche Strategie zu machen.
©SARIPICTURE Sarah Domandl LEMARIT Stockfotos 0236 20260219
Suchen