Hace poco Let’s Encrypt, una CA no comercial, controlada por la comunidad y que brinda certificados sin costo para todos, anunció la implementación en su infraestructura de soporte para ARI (ACME Renewal Information), una extensión del protocolo ACME que permite enviar información al cliente sobre la necesidad de renovar los certificados y recomendar el mejor momento para la renovación.
La especificación ARI está pasando por un proceso de estandarización por parte del comité IETF (Internet Engineering Task Force), que desarrolla los protocolos y la arquitectura de Internet, y se encuentra en la etapa de revisión de una versión preliminar.
ARI se estandarizó en el IETF, un proceso que comenzó con un correo electrónico del ingeniero de Let’s Encrypt, Roland Shoemaker, en marzo de 2020. En septiembre de 2021, el ingeniero de Let’s Encrypt, Aaron Gable, envió el primer borrador al grupo de trabajo ACME del IETF, y ahora ARI está en producción. El siguiente paso es que los clientes de ACME comiencen a respaldar ARI, un proceso en el que planeamos ayudar lo mejor que podamos en los próximos meses.
Antes de la introducción de ARI, el propio cliente determinaba la política de renovación del certificado, por ejemplo, ejecutando periódicamente el proceso de renovación a través de Cron, o tomando decisiones basadas en el análisis de la vigencia del certificado.
Este enfoque generaba dificultades cuando era necesario revocar los certificados antes de tiempo, por ejemplo, era necesario contactar a los usuarios por correo electrónico y obligarlos a realizar una renovación manual.
¡El equipo de Let’s Encrypt se complace en anunciar que ACME Renewal Information (ARI) está en producción! ARI hace posible que nuestros suscriptores manejen la revocación y renovación de certificados de manera tan fácil y automática como el proceso de obtener un certificado en primer lugar.
Con ARI, Let’s Encrypt puede señalar a los clientes de ACME cuándo deben renovar los certificados. En el caso normal de un certificado con una vigencia de 90 días, ARI podría indicar la renovación a los 60 días. Si Let’s Encrypted necesita revocar un certificado por algún motivo, ARI puede indicar que la renovación debe realizarse antes de la revocación. Esto significa que incluso en circunstancias atenuantes, la renovación puede realizarse de forma totalmente automatizada sin interrumpir los servicios del suscriptor.
La extensión ARI es destacable, ya que permite al cliente definir un tiempo de renovación de certificado recomendado, no estar atado a la vida útil de 90 días de los certificados y no preocuparse de que se pierda una revocación de certificado no programada.
Como tal en la publicación de blog de Let’s Encrypt, se menciona que ARI tiene un par de beneficios adicionales para Let’s Encrypt y los usuarios, ya que como tal:
Primero, podemos usar ARI para ayudar a modular las renovaciones según sea necesario para evitar picos de carga en la infraestructura de Let’s Encrypt (por supuesto, los suscriptores aún pueden renovar cuando lo deseen o necesiten, ya que ARI es simplemente una señal o sugerencia). En segundo lugar, ARI se puede usar para preparar a los suscriptores para el éxito en términos de tiempos de renovación ideales en caso de que Let’s Encrypt ofrezca certificados de vida aún más corta en el futuro.
Por ejemplo, en el caso de una revocación anticipada a través de ARI, la actualización podría activarse después de 60 días en lugar de 90. Además, ARI le permite al usuario el poder suavizar de manera efectiva la carga máxima en los servidores de Let’s Encrypt al elegir el momento de la actualización en función de la carga de la infraestructura.
Ya que si el cliente no recibe respuesta o recibe una respuesta incorrecta (por ejemplo, una marca de tiempo de finalización que es igual o anterior a la marca de tiempo de inicio), el cliente tiene la posibilidad de tomar su propia determinación de cuándo renovar el certificado, y ademas puede volver a enviar la solicitud de información de renovación.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.