Confronto dei protocolli ACME, EST, SCEP e CMPv2 per l'ottenimento dei certificati.
25/giu/2025 | Jindřich Zechmeister
L'automazione della gestione dei certificati digitali è fondamentale per gli ambienti IT moderni – dai server web ai dispositivi mobili fino alle PKI aziendali. Esistono diversi protocolli utilizzati per ottenere certificati dalle autorità di certificazione (CA). In questo articolo confrontiamo i quattro protocolli più diffusi: ACME, EST, SCEP e CMPv2.
Confronto dei protocolli per l'automazione dei certificati
Il tema dell'automazione dei certificati TLS è attualmente centrale nel mondo IT, spinto dalla loro prossima riduzione della validità a 47 giorni. Diamo un'occhiata insieme ai protocolli più diffusi per ottenere certificati TLS e come utilizzarli. Tutti i protocolli presentati consentono l'ottenimento automatizzato di certificati – sia che si tratti di una semplice implementazione web tramite ACME, gestione dei dispositivi tramite SCEP o EST, o scenari aziendali con controllo completo tramite CMPv2.
Diamo un'occhiata insieme ai singoli protocolli.
ACME – Ambiente di gestione automatico dei certificati
ACME è un protocollo moderno che automatizza l'acquisizione e il rinnovo dei certificati; è supportato da grandi CA come DigiCert. Comunica tramite HTTPS e utilizza la validazione dei domini (DNS o HTTP).
- Vantaggi: semplicità, supporto esteso, piena automazione
- Svantaggi: uso limitato al di fuori dei certificati TLS/web
EST – Registrazione su trasporto sicuro
EST è il successore più sicuro di SCEP. Utilizza HTTPS e consente la verifica tramite certificati client TLS o cosiddetti codici di registrazione. È spesso usato in reti IoT e aziendali.
- Vantaggi: crittografia robusta, supporto per l'autenticazione a due vie
- Svantaggi: implementazione più complessa, meno diffuso
SCEP – Protocollo di registrazione semplice dei certificati
SCEP è un protocollo più vecchio e semplice ampiamente utilizzato nei dispositivi di rete (ad esempio Cisco) e nelle soluzioni MDM. L'autenticazione avviene tramite una password statica chiamata challenge password.
- Vantaggi: ampio supporto, semplicità
- Svantaggi: sicurezza più debole, funzionalità limitata
CMPv2 – Protocollo di gestione dei certificati v2
CMPv2 è un protocollo complesso per la gestione dei certificati durante tutto il loro ciclo di vita – compresa l'emissione, il rinnovo, la revoca e l'aggiornamento delle chiavi. È destinato principalmente agli ambienti aziendali e telecomunicazioni.
- Vantaggi: robusto, flessibile, supporto completo PKI
- Svantaggi: maggiore complessità, implementazione più difficile
Tabella comparativa
| Caratteristica / Protocollo | ACME | EST | SCEP | CMPv2 |
|---|---|---|---|---|
| Uso primario | Certificati web/TLS | IoT, dispositivi | MDM, reti | Enterprise PKI |
| Trasporto | HTTPS (REST) | HTTPS | HTTP | HTTP(S), TCP |
| Autenticazione | Validazione DNS/HTTP | Cert. TLS, codice di registrazione | Challenge password | Flessibile (PKI) |
| Rinnovo certificato | ✅ Sì | ✅ Sì | ⚠️ Limitato | ✅ Pieno |
| Revoca certificato | ⚠️ Limitato | ⚠️ Possibile | ❌ No | ✅ Sì |
| Supporto crittografia | Moderna | Moderna | Obsoleta | Moderna |
| Semplicità | ✅ Semplice | ⚠️ Medio | ✅ Semplice | ❌ Complesso |
| Standardizzazione | RFC 8555 | RFC 7030 | Cisco/IETF draft | RFC 4210 |
| Automazione dei certificati | ✅ Piena automazione | ✅ Automazione parziale | ✅ Automazione di base | ✅ Piena automazione |
Come utilizzare questi protocolli?
Il protocollo ACME è disponibile gratuitamente ad ogni cliente su SSLmarket. Ciò consente di automatizzare l'emissione e il rinnovo dei certificati TLS senza costi aggiuntivi e complessità di configurazione. Basta effettuare il login nella propria area clienti e cliccare sul link ACME nel menu principale. Quindi si crea gratuitamente l'accesso a EAB ACME DigiCert.
Tutti e quattro i protocolli menzionati – ACME, EST, SCEP e CMPv2 – sono supportati dalla soluzione DigiCert Trust Lifecycle Manager, che serve come piattaforma centrale per la gestione dei certificati e del materiale chiave in tutta l'organizzazione. Consente la distribuzione sicura e automatizzata dei certificati in vari ambienti (on-premise, cloud, ibrido) e supporta l'integrazione con MDM, DevOps e infrastruttura di rete. Maggiori informazioni su DigiCert Trust Lifecycle Manager sono disponibili sulla sua pagina del prodotto.
Conclusione
La scelta del giusto protocollo dipende dallo scenario specifico. ACME è ideale per l'automazione dei certificati TLS, EST per l'IoT moderno e i dispositivi, SCEP per le infrastrutture più datate e CMPv2 per un PKI completamente gestito in ambienti aziendali. La corretta integrazione di questi protocolli può semplificare notevolmente la gestione dei certificati e migliorare la sicurezza dell'intera infrastruttura.
ACME può essere utilizzato gratuitamente da qualsiasi cliente SSLmarket; per soluzioni complesse consigliamo il DigiCert Trust Lifecycle Manager. Saremo lieti di mostrarvelo.
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
