ACME 协议通过开源与自动化,推动全球 HTTPS 普及率飙升,并成为应对未来短证书周期的关键基础设施,彰显了开放协作改变互联网的力量。
你可能每天都在用 HTTPS 上网,但你有没有想过,为什么如今几乎每个网站都能轻松启用加密?背后有一个“隐形英雄”——它就是 ACME 协议。
这篇文章带你穿越十年时光,揭秘这个开源、免费又高度自动化的协议如何从一张白纸,演变成全球互联网安全的基础设施。它不仅让 Let’s Encrypt 一路狂飙到 7 亿活跃证书,还直接推动了全球 HTTPS 普及率从 39% 飙升至 83% 以上!
从“网络即计算机”到加密乌托邦的破灭
上世纪90年代,互联网真正起飞,Sun Microsystems 那句“网络就是计算机”成了时代最强音。
彼时人们沉迷于无国界、无限制的全球互联,畅想着一个自由共享的数字乌托邦。TCP/IP、DNS、HTTP、HTML 这些开放协议成了这座数字天堂的砖瓦,打通了不同系统之间的隔阂。
然而,这场乌托邦有个致命短板:几乎没人关心加密。直到2013年斯诺登爆料,全世界才猛然惊醒——你的邮件、购物记录、聊天记录,全在裸奔!
2015年时,全球只有约40%的网站启用了 HTTPS。而阻碍加密普及的最大拦路虎,竟然是“申请证书”这件事。
Let’s Encrypt 的诞生:一群理想主义者的破局之战
“最大的障碍不是技术,而是获取和管理服务器证书太难了。”——J.C. Jones,Mozilla 前加密团队负责人、Let’s Encrypt 架构师之一,一语道破天机。
2013年,Mozilla、电子前哨基金会(EFF)、Akamai、思科和密歇根大学的一群人聚在一起,决定干一件疯狂的事:创建一个完全免费、全自动的证书颁发机构(CA)——这就是 Let’s Encrypt 的起点。
它由非营利组织互联网安全研究组(ISRG)运营,使命只有一个:让全网100%加密。十年后的今天,它的成果震撼世界——超7亿张活跃证书,占全球公共 TLS 证书的60%以上。Sarah Gran——Let’s Encrypt 副总裁——自豪地说:“我们起步时,全球 HTTPS 流量仅39%;如今美国已达95%,全球超83%。”
自动化不是锦上添花,而是生死线
现在回头看,Let’s Encrypt 的自动化似乎理所当然。
但在2010年代初期,这简直是异端。当时主流 CA 还在靠人工审核、邮件确认、收费发证。而 Let’s Encrypt 从第一天起就只有一支十几人的小团队。Aaron Gable——Let’s Encrypt 核心系统 Boulder 的技术负责人——直言:“没有自动化,我们根本不可能用非营利的预算支撑互联网级的证书发放量。”
自动化不只为方便站长,更是项目能否存活的关键命门。
ACME:让机器对话取代人工操作的魔法协议
这一切的核心,就是 ACME(自动证书管理环境)。
它是一个开放协议,让客户端软件自动向 CA 证明自己控制了某个域名,全程无需人类干预。比如,CA 发出一个挑战,客户端只需在域名的 HTTP 路径、DNS 记录或 TLS 响应中放一个指定值即可完成验证。
Sarah Gran 特意强调:“我们验证的是‘控制权’,不是‘所有权’。”这个细微差别正是 ACME 灵活又安全的根基。
验证通过后,证书自动签发、部署,整个过程快如闪电,彻底告别了传统 CA 的繁琐流程。
ACME 的诞生:两支团队的“英雄所见略同”
ACME 并非凭空而来。
2014年底,一支由密歇根大学 Alex Halderman 和 EFF 的 Peter Eckersley 领导的团队,正在设计自动发证协议;与此同时,Mozilla 的 Josh Aas 和 Eric Rescorla 正在筹建免费 CA。当这两支队伍相遇,火花四溅——他们合并了愿景,ACME 由此诞生。
2015年春,他们在旧金山 Mozilla 办公室和 Tenderloin 的 EFF 办公室里反复打磨协议细节。J.C. Jones 回忆:“那时我们连 HTTP REST API 的路径都还没定好,但大家心里清楚,必须用标准 API 才能实现真正的自动化。”
从 Web 到全网:ACME 的“无心插柳”
Let’s Encrypt 的首要目标确实是 Web 加密,但 ACME 的设计让它意外成为全网协议的守护神。
J.C. Jones 坦言,团队最初对 DNS 验证很没底:“DNS 太复杂了,我们怕搞砸。”讽刺的是,后来被废掉的反而是 TLS-SNI 验证(因安全漏洞),而 DNS 验证却稳如泰山。正因如此,ACME 不仅能发 Web 证书,还能为 SMTP、XMPP、MQTT 等协议提供加密凭证。
一个为 Web 而生的协议,最终成了整个互联网的“安全底座”。
开源+标准化:ACME 走向世界的双引擎
ACME 从第一天起就走开源路线,Certbot(由 EFF 联合开发)作为参考客户端,迅速催生了成百上千种 ACME 客户端,覆盖各种操作系统、编程语言和场景。同时,IETF 标准化之路也在2015年开启,2019年正式发布 RFC 8555。J.C. Jones 笑称:“我们早就料到会有人写自己的客户端——这正是我们想要的生态!”
更妙的是,标准化过程还大幅提升了协议安全性。比如,早期草案是“先验证再申请证书”,IETF 讨论后改为“先申请证书,CA 再告知需验证哪些域名”,这让通配符证书更自然;另一个重大改进是“所有请求必须认证”,催生了 ACME 特有的 POST-as-GET 机制。
还有 TLS-SNI-01 漏洞被 Frans Rosen 发现后,社区迅速用 TLS-ALPN-01 替代——这正是开源+标准化的力量。
商业 CA 的“真香”现场:从怀疑到拥抱
2015年 Let’s Encrypt 上线时,不少商业 CA 心怀警惕:这免费午餐会不会砸了我们的饭碗?但 ACME 的开放性很快打消了疑虑。IETF 标准化过程中,商业 CA 提出需求:我们得绑定付费账户啊!
于是 EAB(外部账户绑定)机制诞生——它允许 CA 用密钥对客户端身份进行筛选,既满足计费需求,又让企业客户跳过挑战步骤,直接复用现有验证系统。
J.C. Jones 说:“EAB 让很多 CA 打消了对 ACME 的抵触。”
如今,全球所有主流公共 CA,无论免费还是商业,都已支持 ACME。2025年4月,CA/B 论坛更通过 SC081 号提案:到2029年,公共 TLS 证书寿命将从398天缩短至47天!ACME 自动化,成了全行业应对这一巨变的唯一解药。
ARI:让 CA 主动“催更”证书的神操作
如果你以为 ACME 到 RFC 8555 就结束了,那就大错特错。
2025年,RFC 9773(ARI,ACME 续订信息)横空出世,为协议注入新活力。ARI 允许 CA 主动告知客户端:“你的证书可能要被批量吊销了,请提前续订!”这背后,其实是 Let’s Encrypt 两次“破戒”事件的反思——2020年的 CAA 重检漏洞(Bug #1619179)和2021年的“多1秒有效期”事件(Bug #1715672)。
当时,因担心百万级吊销引发“警告疲劳”和用户绕过安全机制,Let’s Encrypt 选择暂不吊销。此后,团队痛定思痛,决心开发 ARI,让客户端能提前响应吊销,避免大规模中断。Aaron Gable 亲自带队设计 ARI,甚至在 Let’s Encrypt 上线激励政策:“用 ARI 续订的用户,可绕过速率限制!”
客户端更新难:自动化生态的阿喀琉斯之踵
但理想很丰满,现实很骨感。
Aaron Gable 坦承:“ARI 推广最大的难点,是客户端几乎从不更新。”很多用户“设完就忘”,老旧客户端占主流。即便新版本支持 ARI,用户也不升级。更麻烦的是配置——传统 cron 任务可能每周跑一次,但 ARI 要求每天检查 CA 的续订建议。
这意味着用户得主动改配置。这种“静默型”客户端生态,成了协议演进的最大阻力。
Let’s Encrypt 团队不得不投入大量精力,帮主流客户端(如 Certbot)集成 ARI,甚至亲自写代码贡献。但生态的轮转,注定是场慢跑。
服务器端创新:提前布局,引领规则
与客户端的停滞形成鲜明对比的是服务器端的锐意进取。当 CA/B 论坛近年要求引入 MPIC(多视角签发核验)以防御 BGP 劫持时,Let’s Encrypt 却轻松应对——因为他们早在2020年就和普林斯顿大学合作研发了 MPIC(当时叫远程验证),并已部署。
Aaron Gable 说:“我们不是被动合规,而是主动参与规则制定。”这种“站在未来”的姿态,不仅降低合规成本,更让 Let’s Encrypt 成为行业创新的引领者。
未来已来:ACME 将不止于 Web 证书
ACME 的野心远未止步。Aaron Gable 透露,团队正推动“配置文件选择”标准化,让 CA 能灵活调整证书内容而不中断服务;更激动人心的是“公钥标识符”提案——它将解决当前 CSR(证书签名请求)无法证明私钥持有权的漏洞。
此外,Fastly 提出的 dns-account-01 挑战,旨在优化多云环境下的 DNS 验证。
最颠覆性的是,IETF 正在起草基于设备证明(attestation)的 ACME 扩展,让物联网设备也能用 ACME 获取身份证书!这时的 ACME,已从“Web 证书协议”蜕变为“通用挑战式证书框架”,未来潜力无限。
致敬开源理想主义者:用代码改变世界
回望 ACME 的十年征途,它不仅是技术的胜利,更是开源精神与协作理想的胜利。一群非营利组织的工程师,在资源有限的情况下,硬是用开放协议撬动了整个互联网安全格局。
他们证明了:伟大变革不需要巨头背书,只需要一群相信“开放、自由、合作”能创造奇迹的人。正如本文作者所言:“30年过去,开放协议依然在重塑互联网——而 ACME,正是新时代的火炬手。”
作者背景
本文作者为法国技术博主 Brocas,长期关注网络安全、开源协议与隐私技术。他深度参与 Free Software 社区,并多次采访 Let’s Encrypt 核心团队,包括 Aaron Gable(Boulder 技术负责人)、Sarah Gran(ISRG 副总裁)、Jacob Hoffman-Andrews(Certbot 联合创始人)和 J.C. Jones(前 Mozilla 加密主管、现 Let’s Encrypt SRE)。其博客以深度、人文与技术结合著称,致力于向大众普及关键基础设施背后的故事。