Let's Encrypt er en sertifiseringsinstans som tilbyr gratis X.509-sertifikater
nylig La oss kryptere, en ikke-kommersiell, fellesskapskontrollert CA som gir sertifikater uten kostnad for alle, annonserte implementeringen i din infrastruktur støtte for ARI (ACME Renewal Information), en utvidelse av ACME-protokollen som gjør det mulig å sende informasjon til klienten om behovet for å fornye sertifikatene og anbefaler den beste tiden for fornyelse.
ARI-spesifikasjonen gjennomgår en standardiseringsprosess av IETF-komiteen (Internet Engineering Task Force), som utvikler Internett-protokoller og arkitektur, og er i gjennomgangsfasen av en foreløpig versjon.
ARI ble standardisert på IETF, en prosess som begynte med en e-post fra Let's Encrypt-ingeniør Roland Shoemaker i mars 2020. I september 2021 sendte Let's Encrypt-ingeniør Aaron Gable inn det første utkastet til IETF IETF ACME-arbeidet, og nå er ARI i produksjon . Neste trinn er at ACME-kunder begynner å støtte ARI, en prosess vi planlegger å hjelpe med så godt vi kan i de kommende månedene.
Før introduksjonen av ARI, bestemte klienten selv policyen for sertifikatfornyelse, for eksempel å utføre fornyelsesprosessen med jevne mellomrom gjennom Cron, eller ta avgjørelser basert på analysen av sertifikatets gyldighet.
Denne tilnærmingen skapte vanskeligheter når sertifikater måtte tilbakekalles for tidlig, for eksempel brukere måtte kontaktes via e-post og tvinges til å utføre en manuell fornyelse.
Let's Encrypt-teamet er glade for å kunngjøre at ACME Renewal Information (ARI) er i produksjon! ARI gjør det mulig for våre abonnenter å håndtere tilbakekall og fornyelse av sertifikater like enkelt og automatisk som prosessen med å få et sertifikat i utgangspunktet.
Med ARI kan Let's Encrypt signalisere ACME-klienter når de skal fornye sertifikater. I det normale tilfellet med et sertifikat med en gyldighet på 90 dager, kan ARI indikere fornyelse ved 60 dager. Hvis Let's Encrypted trenger å tilbakekalle et sertifikat av en eller annen grunn, kan ARI indikere at fornyelsen må gjøres før tilbakekallingen. Dette betyr at selv under formildende omstendigheter kan fornyelsen gjøres på en helautomatisk måte uten å avbryte abonnentens tjenester.
Utvidelsen ARI er bemerkelsesverdig, siden det lar klienten definere en fornyelsestid anbefalt tilbakekall av sertifikat, ikke være bundet til 90-dagers sertifikatlevetid, og ikke bekymre deg for å gå glipp av en ikke-planlagt tilbakekalling av sertifikatet.
Som sådan i Let's Encrypt-blogginnlegget er ARI nevnt som å ha et par ekstra fordeler for Let's Encrypt og brukere, siden som sådan:
For det første kan vi bruke ARI til å hjelpe til med å modulere fornyelser etter behov for å unngå belastningstopper på Let's Encrypt-infrastrukturen (selvfølgelig kan abonnenter fortsatt fornye når de vil eller trenger det, siden ARI bare er et signal eller forslag). For det andre kan ARI brukes til å sette abonnenter opp for å lykkes når det gjelder ideelle fornyelsestider dersom Let's Encrypt tilbyr enda kortere sertifikater i fremtiden.
For eksempel, i tilfelle tidlig tilbakekalling via ARI, kan oppdateringen aktiveres etter 60 dager i stedet for 90. I tillegg lar ARI brukeren effektivt jevne ut toppbelastningen på Let's Encrypt sine servere når man velger tidspunkt for oppdatering basert på belastningen på infrastrukturen.
For hvis klienten ikke mottar noe svar eller får feil svar (for eksempel et slutttidsstempel som er lik eller tidligere enn starttidsstempelet), har klienten muligheten til å bestemme når sertifikatet skal fornyes, og du kan også sende inn forespørselen om fornyelsesinformasjon på nytt.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.