Let's Encrypt és una autoritat de certificació que proporciona certificats X.509 gratuïts
fa poc Anem a xifrar, una CA no comercial, controlada per la comunitat i que brinda certificats sense cost per a tothom, va anunciar la implementació a la seva infraestructura de suport per a ARI (ACME Renewal Information), una extensió del protocol ACME que permet enviar informació al client sobre la necessitat de renovar els certificats i recomanar el millor moment per a la renovació.
L'especificació ARI està passant per un procés d'estandardització per part del comitè Internet Engineering Task Force (IETF), que desenvolupa els protocols i l'arquitectura d'Internet, i es troba a l'etapa de revisió d'una versió preliminar.
ARI es va estandarditzar a l'IETF, un procés que va començar amb un correu electrònic de l'enginyer de Let's Encrypt, Roland Shoemaker, el març del 2020. El setembre del 2021, l'enginyer de Let's Encrypt, Aaron Gable, va enviar el primer esborrany al grup de treball ACME de lIETF, i ara ARI està en producció. El següent pas és que els clients d'ACME comencin a donar suport a ARI, un procés en què planegem ajudar tan bé com puguem en els propers mesos.
Abans de la introducció d'ARI, el client mateix determinava la política de renovació del certificat, per exemple, executant periòdicament el procés de renovació a través de Cron, o prenent decisions basades en l'anàlisi de la vigència del certificat.
Aquest enfocament generava dificultats quan calia revocar els certificats abans d'hora, per exemple, calia contactar els usuaris per correu electrònic i obligar-los a fer una renovació manual.
L'equip de Let's Encrypt es complau a anunciar que ACME Renewal Information (ARI) està en producció! ARI fa possible que els nostres subscriptors manegin la revocació i la renovació de certificats de manera tan fàcil i automàtica com el procés d'obtenir un certificat en primer lloc.
Amb ARI, Let's Encrypt pot assenyalar els clients de ACME quan han de renovar els certificats. En cas normal d'un certificat amb una vigència de 90 dies, ARI podria indicar la renovació als 60 dies. Si Let's Encrypted necessita revocar un certificat per algun motiu, ARI pot indicar que la renovació s'ha de fer abans de la revocació. Això significa que fins i tot en circumstàncies atenuants, la renovació es pot fer de forma totalment automatitzada sense interrompre els serveis del subscriptor.
l'extensió ARI és destacable, ja que permet al client definir un temps de renovació de certificat recomanat, no estar lligat a la vida útil de 90 dies dels certificats i no preocupar-se que es perdi una revocació de certificat no programada.
Com a tal a la publicació de bloc de Let's Encrypt, s'esmenta que ARI té un parell de beneficis addicionals per a Let's Encrypt i els usuaris, ja que com a tal:
Primer, podem utilitzar ARI per ajudar a modular les renovacions segons calgui per evitar pics de càrrega a la infraestructura de Let's Encrypt (per descomptat, els subscriptors encara poden renovar quan ho desitgin o necessitin, ja que ARI és simplement un senyal o suggeriment) . En segon lloc, ARI es pot utilitzar per preparar els subscriptors per a lèxit en termes de temps de renovació ideals en cas que Let's Encrypt ofereixi certificats de vida encara més curta en el futur.
Per exemple, en el cas d'una revocació anticipada a través d'ARI, l'actualització podria activar-se després de 60 dies en lloc de 90. A més, ARI permet a l'usuari poder suavitzar de manera efectiva la càrrega màxima als servidors de Let's Encrypt en triar el moment de l'actualització en funció de la càrrega de la infraestructura.
Ja que si el client no rep resposta o rep una resposta incorrecta (per exemple, una marca de temps de finalització que és igual o anterior a la marca de temps dinici), el client té la possibilitat de prendre la seva pròpia determinació de quan renovar el certificat i, a més, pot tornar a enviar la sol·licitud d'informació de renovació.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls al següent enllaç.