Let's Encrypt é uma autoridade certificadora que fornece certificados X.509 gratuitos
Faz pouco Vamos criptografar, uma CA não comercial controlada pela comunidade que fornece certificados sem nenhum custo para todos, anunciou a implementação na sua infraestrutura suporte para ARI (ACME Renewal Information), uma extensão do protocolo ACME que permite enviar informações ao cliente sobre a necessidade de renovação dos certificados e recomendar o melhor momento para a renovação.
A especificação ARI está passando por um processo de padronização pelo comitê IETF (Internet Engineering Task Force), que desenvolve protocolos e arquitetura de Internet, e está em fase de revisão de uma versão preliminar.
O ARI foi padronizado no IETF, um processo que começou com um e-mail do engenheiro Roland Shoemaker da Let's Encrypt em março de 2020. Em setembro de 2021, o engenheiro Aaron Gable da Let's Encrypt enviou o primeiro rascunho para o trabalho IETF IETF ACME, e agora o ARI está em produção . O próximo passo é que os clientes da ACME comecem a oferecer suporte ao ARI, um processo que planejamos ajudar da melhor maneira possível nos próximos meses.
Antes da introdução do ARI, o próprio cliente determinava a política de renovação do certificado, por exemplo, executando periodicamente o processo de renovação através do Cron, ou tomando decisões com base na análise da validade do certificado.
Essa abordagem criava dificuldades quando os certificados precisavam ser revogados prematuramente, por exemplo, os usuários precisavam ser contatados por e-mail e forçados a realizar uma renovação manual.
A equipe Let's Encrypt tem o prazer de anunciar que o ACME Renewal Information (ARI) está em produção! O ARI permite que nossos assinantes lidem com a revogação e renovação de certificados de forma tão fácil e automática quanto o processo de obtenção de um certificado em primeiro lugar.
Com o ARI, o Let's Encrypt pode sinalizar aos clientes ACME quando renovar os certificados. No caso normal de um certificado com validade de 90 dias, o ARI poderia indicar a renovação aos 60 dias. Se a Let's Encrypted precisar revogar um certificado por qualquer motivo, o ARI poderá indicar que a renovação deve ser feita antes da revogação. Isso significa que, mesmo em circunstâncias atenuantes, a renovação pode ser feita de forma totalmente automatizada sem interromper os serviços do assinante.
A extensão O ARI é marcante, pois permite ao cliente definir um tempo de renovação revogação de certificado recomendada, não fique vinculado à vida útil do certificado de 90 dias e não se preocupe em perder uma revogação de certificado não programada.
Como tal, na postagem do blog Let's Encrypt, o ARI é mencionado como tendo alguns benefícios adicionais para Let's Encrypt e usuários, pois:
Primeiro, podemos usar o ARI para ajudar a modular as renovações conforme necessário para evitar picos de carga na infraestrutura Let's Encrypt (claro, os assinantes ainda podem renovar quando quiserem ou precisarem, pois o ARI é apenas um sinal ou sugestão). Em segundo lugar, o ARI pode ser usado para configurar os assinantes para o sucesso em termos de tempos de renovação ideais, caso o Let's Encrypt ofereça certificados ainda mais curtos no futuro.
Por exemplo, no caso de revogação antecipada via ARI, a atualização pode ser ativada após 60 dias em vez de 90. Além disso, o ARI permite ao usuário suavizar efetivamente o pico de carga nos servidores da Let's Encrypt ao escolher o momento da atualização com base em a carga da infraestrutura.
Porque se o cliente não receber nenhuma resposta ou receber uma resposta incorreta (por exemplo, um carimbo de hora final igual ou anterior ao carimbo de hora inicial), o cliente poderá fazer sua própria determinação de quando renovar o certificado, e você também pode reenviar a solicitação de informações de renovação.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir