Aller au contenu principal

2. Modèle de déploiement et expérience opérateur

Le cas d'utilisation directeur d'ACME est l'obtention de certificats pour des sites Web (HTTPS [RFC2818]). Dans ce contexte, un serveur Web est destiné à représenter un ou plusieurs noms de domaine, et le processus de délivrance de certificats vise à vérifier que ce serveur Web représente bien ces noms de domaine.

La validation des certificats DV vérifie généralement les déclarations d'attributs liés au contrôle du nom de domaine — des attributs que l'émetteur du certificat peut observer lors d'interactions menées entièrement en ligne. Cela signifie que, dans le cas typique, toutes les étapes du processus de demande, de validation et de délivrance peuvent être représentées et exécutées via des protocoles Internet, sans intervention humaine hors bande.

Avant ACME, lors du déploiement d'un serveur HTTPS, l'opérateur du serveur recevait généralement une invite pour générer un certificat auto-signé (Self-Signed Certificate). Si l'opérateur déployait plutôt un serveur HTTPS avec ACME, l'expérience serait la suivante :

  • Le client ACME de l'opérateur invite l'opérateur à saisir les noms de domaine prévus que le serveur Web doit représenter.

  • Le client ACME présente à l'opérateur une liste de CA auprès desquelles un certificat peut être obtenu. (Cette liste évoluera dans le temps en fonction des capacités des CA et des mises à jour de la configuration ACME.) Le client ACME peut à ce stade inviter l'opérateur à fournir des informations de paiement.

  • L'opérateur choisit une CA.

  • En arrière-plan, le client ACME contacte la CA et lui demande de délivrer un certificat pour les noms de domaine prévus.

  • La CA vérifie que le client contrôle les noms de domaine demandés en lui demandant d'effectuer certaines opérations qui ne peuvent être accomplies que par une entité contrôlant ces domaines. Par exemple, la CA peut demander au client qui demande example.com de configurer un enregistrement DNS sous example.com ou une ressource HTTP sous http://example.com.

  • Une fois la CA satisfaite, elle délivre le certificat, que le client ACME télécharge et installe automatiquement, en notifiant éventuellement l'opérateur par e-mail, SMS, etc.

  • Le client ACME contacte périodiquement la CA pour obtenir des certificats mis à jour, des réponses OCSP (Online Certificate Status Protocol) agrafées [RFC6960], ou tout autre élément nécessaire au bon fonctionnement du serveur Web et à la mise à jour de ses identifiants.

De cette façon, le déploiement avec un certificat délivré par une CA devient presque aussi simple que l'utilisation d'un certificat auto-signé. De plus, la maintenance du certificat délivré par cette CA nécessitera une intervention manuelle minimale. Cette intégration étroite d'ACME avec le serveur HTTPS permet un déploiement automatique immédiat lors de la délivrance du certificat, libérant les administrateurs humains de la majeure partie du travail chronophage décrit dans la section précédente.

Dernière mise à jour le