Comparaison des protocoles d'obtention automatisée des certificats ACME, EST et autres
25 juin 2025 | Jindřich Zechmeister
L’automatisation de la gestion du cycle de vie des certificats est essentielle pour les environnements informatiques modernes, allant des serveurs web et appareils mobiles aux infrastructures de clé publique (PKI) d’entreprise. Plusieurs protocoles permettent l'obtention de certificats auprès des autorités de certification. Dans cet article, nous comparons les quatre protocoles les plus couramment utilisés : ACME, EST, SCEP et CMPv2.
Comparaison des protocoles d'obtention automatisée des certificats
Dans le domaine de l'informatique moderne, l'automatisation des certificats TLS est devenue un thème incontournable, particulièrement depuis l'annoncement de la réduction de leur période de validité à 47 jours. Cet article examine les protocoles d'automatisation les plus couramment utilisés, en vous guidant dans leur mise en œuvre et vous aidant à déterminer lequel est le plus adapté à votre infrastructure PKI.
Examinons les différents protocoles
ACME – Automatic Certificate Management Environment
ACME est un protocole moderne conçu pour automatiser l'obtention et le renouvellement des certificats ; soutenu par de grandes autorités de certification comme DigiCert. Ce protocole est capable de vérifier la propriété du domaine via des communications HTTPS, en utilisant des vérifications DNS ou HTTP.
- Avantages : simplicité, large support, automatisation totale
- Inconvénients : utilisation limitée en dehors des certificats TLS/web
EST – Enrollment over Secure Transport
Reconnu comme le successeur du protocole SCEP, Enrollment over Secure Transport (EST) se distingue par sa facilité d'utilisation et ses solides fonctionnalités de sécurité. Il utilise HTTPS et est souvent implémenté dans des environnements d'entreprise et IoT.
- Avantages : chiffrement fort, prise en charge de l'authentification mutuelle
- Inconvénients : mise en œuvre plus complexe, moins répandue
SCEP – Simple Certificate Enrollment Protocol
SCEP est un protocole ancien et simple, fréquemment utilisé dans les appareils réseau (comme ceux de Cisco) et les solutions MDM. L'authentification repose sur un mot de passe statique appelé "challenge password".
- Avantages : large support, simplicité
- Inconvénients : sécurité plus faible, fonctionnalités limitées
CMPv2 – Certificate Management Protocol v2
CMP version 2 est un protocole avancé pour la gestion des certificats, permettant leur renouvellement automatisé et le cycle de vie complet des certificats, incluant l'émission, le renouvellement, la révocation et la mise à jour des clés. Il est principalement destiné aux environnements d'entreprise et de télécommunications.
- Avantages : Robustesse, flexibilité, support PKI complet
- Inconvénients : complexité élevée, déploiement plus difficile
Tableau comparatif
| Caractéristique / Protocole | ACME | EST | SCEP | CMPv2 |
|---|---|---|---|---|
| Utilisation principale | Certificats Web/TLS | IoT, dispositifs | MDM, réseaux | PKI d'entreprise |
| Transport | HTTPS (REST) | HTTPS | HTTP | HTTP(S), TCP |
| Authentification | Validation DNS/HTTP | Cert. TLS, code d'inscription | Mot de passe challenge | Flexible (PKI) |
| Renouvellement de certificat | ✅ Oui | ✅ Oui | ⚠️ Limité | ✅ Complet |
| Révocation de certificat | ⚠️ Limité | ⚠️ Possible | ❌ Non | ✅ Oui |
| Prise en charge du chiffrement | Moderne | Moderne | Obsolète | Moderne |
| Simplicité | ✅ Simple | ⚠️ Moyenne | ✅ Simple | ❌ Complexe |
| Standardisation | RFC 8555 | RFC 7030 | Cisco/IETF draft | RFC 4210 |
| Automatisation des certificats | ✅ Automatisation complète | ✅ Automatisation partielle | ✅ Automatisation de base | ✅ Automatisation complète |
Comment utiliser ces protocoles ?
Le protocole ACME est offert gratuitement à chaque client de SSLmarket. Vous pouvez automatiser l'émission et le renouvellement des certificats TLS sans coûts supplémentaires. Pour commencer, connectez-vous à votre espace client et cliquez sur le lien ACME dans le menu. Vous pourrez ensuite créer gratuitement des accès à EAB pour ACME DigiCert.
Les quatre protocoles décrits – ACME, EST, SCEP et CMPv2 – sont pris en charge par le DigiCert Trust Lifecycle Manager - une plateforme centrale de gestion des certificats et des clés de votre organisation. Elle permet un déploiement sécurisé et automatisé des certificats dans divers environnements (on-premise, cloud, hybride) et offre une intégration avec MDM, DevOps et l'infrastructure réseau. Pour plus d'informations, consultez la page produit de DigiCert Trust Lifecycle Manager.
Conclusion
Le choix du protocole approprié dépend du scénario spécifique. ACME convient parfaitement à l'automatisation des certificats TLS, tandis qu'EST est idéal pour les IoT et appareils modernes. SCEP est souvent utilisé dans les infrastructures plus anciennes et CMPv2 s'adresse aux entreprises recherchant une gestion complète de leur PKI. L'intégration adéquate de ces protocoles peut simplifier considérablement la gestion des certificats et renforcer la sécurité globale de votre infrastructure.
ACME est disponible gratuitement pour tous les clients de SSLmarket. Pour une solution complète, nous recommandons le DigiCert Trust Lifecycle Manager, que nous serions ravis de vous présenter.
