Les clients ACME (Automated Certificate Management Environment) existent sous deux formes : bases sur navigateur (comme GetHTTPS) et en ligne de commande (comme Certbot et acme.sh). Les deux communiquent avec la meme API Let’s Encrypt et emettent des certificats identiques. La difference reside dans l’endroit ou le travail est effectue et qui controle les cles.
Comparaison
| Navigateur (GetHTTPS) | CLI (Certbot, acme.sh) | |
|---|---|---|
| Ou il s’execute | Votre onglet de navigateur | Ligne de commande du serveur |
| Installation | Aucune | Requise (snap, pip, script shell) |
| Generation de cles | Navigateur (Web Crypto API) | Serveur (OpenSSL) |
| Stockage des cles | Telecharge par vous | Systeme de fichiers du serveur |
| Renouvellement automatique | ❌ Manuel | ✅ Cron/systemd |
| Acces serveur necessaire | Non | Oui |
| GUI | ✅ | ❌ |
| Pre-verification | ✅ (GetHTTPS) | ❌ |
| Scriptable | ❌ | ✅ |
| Dependances | Navigateur moderne | OpenSSL, curl, cron |
Quand le navigateur l’emporte
- Pas d’acces serveur — hebergement mutualise, plateformes gerees ou serveurs ou vous ne pouvez pas installer de logiciel
- Confidentialite maximale des cles — la cle privee n’existe que dans la memoire du navigateur jusqu’a ce que vous la telechargiez
- Utilisateurs non techniques — une interface web est plus accessible qu’un terminal
- Certificats ponctuels — plus rapide que de configurer un outil CLI pour un seul certificat
- Aider les autres — plus facile de partager un ecran avec un flux navigateur que de dicter des commandes CLI
Quand le CLI l’emporte
- Renouvellement automatique — essentiel pour les serveurs de production, surtout avec la validite de 47 jours a venir
- Infrastructure a grande echelle — scriptable, containerisable, configurable via la gestion de configuration
- Automatisation API DNS — les outils CLI comme acme.sh ont des plugins pour plus de 150 fournisseurs DNS
- Integration CI/CD — emission de certificats dans les pipelines de deploiement
- Configuration automatique du serveur — les plugins Nginx/Apache de Certbot configurent le serveur directement
L’approche hybride
De nombreuses equipes utilisent les deux :
- GetHTTPS pour le premier certificat (aucun temps de configuration)
- Certbot ou acme.sh installe plus tard pour le renouvellement automatique continu
Cela vous permet de demarrer immediatement sans le cout initial de la configuration d’un outil CLI, puis d’ajouter l’automatisation quand vous etes pret.
Clients ACME bases sur navigateur
La categorie des clients ACME bases sur navigateur est relativement recente. Les options incluent :
| Client | Open source | Generation de cles | ACME direct | Pre-verification |
|---|---|---|---|---|
| GetHTTPS | Non | Navigateur (Web Crypto) | Oui | Oui |
| SSL For Free | Non | ⚠️ Cote serveur | Via ZeroSSL | Non |
| ZeroSSL Dashboard | Non | ⚠️ Possiblement cote serveur | Via ZeroSSL API | Non |
GetHTTPS est le seul client base sur navigateur qui genere les cles localement avec la Web Crypto API et se connecte directement a l’API ACME de Let’s Encrypt sans middleware.
Clients ACME CLI
L’ecosysteme CLI est plus mature :
| Client | Langage | Root necessaire | Renouvellement auto | Plugins DNS | Config serveur |
|---|---|---|---|---|---|
| Certbot | Python | Oui (snap/pip) | Oui (systemd) | Via plugins | Auto-config Nginx/Apache |
| acme.sh | Shell | Non | Oui (cron) | 150+ integres | Manuel |
| Lego | Go | Non | Oui | 100+ | Manuel |
| Caddy | Go | N/A (integre) | Oui (automatique) | Via modules DNS | Integre au serveur Caddy |
| dehydrated | Shell | Non | Oui (cron) | Via hooks | Manuel |
Pour des comparaisons detaillees : GetHTTPS vs Certbot → | GetHTTPS vs acme.sh →
L’avenir : les certificats de 47 jours
Avec la reduction de la validite des certificats a 47 jours d’ici 2029, l’equilibre penche encore davantage vers les clients CLI pour l’utilisation en production. Renouveler tous les 30-35 jours manuellement (base sur navigateur) est faisable mais fastidieux.
Cependant, les clients bases sur navigateur ne disparaitront pas. Ils servent des niches durablement utiles :
- Environnements sans acces CLI — hebergement mutualise, plateformes gerees, environnements d’entreprise restrictifs
- Premiere configuration — faire fonctionner HTTPS en 5 minutes, puis decider d’installer un outil CLI
- Renouvellement d’urgence — le Certbot du serveur est casse et vous avez besoin d’un certificat MAINTENANT
- Certificat pour quelqu’un d’autre — generer un certificat pour un client ou un collegue sans acceder a leur serveur
- Scenarios sensibles a la confidentialite — la cle ne devrait jamais exister sur un serveur, meme temporairement
Questions frequemment posees
Un client base sur navigateur est-il moins securise ?
Pas fondamentalement. GetHTTPS genere les cles avec la Web Crypto API (les memes primitives cryptographiques que TLS utilise) et communique directement avec Let’s Encrypt via HTTPS. La cle ne touche jamais aucun serveur tiers. Le principal compromis est l’absence de renouvellement automatique, pas la securite.
Les clients bases sur navigateur deviendront-ils obsoletes avec les certificats de 47 jours ?
Pas obsoletes, mais moins pratiques comme seule methode de renouvellement. Ils resteront precieux pour la configuration initiale, les renouvellements d’urgence et les scenarios sans acces serveur. Mais pour les charges de production qui se renouvellent tous les 30-40 jours, l’automatisation CLI est le choix pragmatique a long terme.
Quel client CLI devrais-je utiliser ?
Certbot si vous voulez l’auto-configuration Nginx/Apache et que l’acces root ne vous derange pas. acme.sh si vous voulez fonctionner sans root, avez besoin de plugins API DNS et preferez une empreinte legere. Caddy si vous changez de serveur web — il gere HTTPS automatiquement sans aucune configuration.
Un client base sur navigateur peut-il fonctionner pour des pipelines automatises ?
Pas directement — les clients bases sur navigateur necessitent une interaction manuelle. Pour les pipelines CI/CD ou l’infrastructure-as-code, utilisez un client CLI. GetHTTPS est concu pour les workflows operes par des humains ; Certbot et acme.sh sont concus pour les workflows operes par des machines.