Let's Encrypt là cơ quan cấp chứng chỉ cung cấp chứng chỉ X.509 miễn phí
Gần đây Hãy mã hóa, một CA phi thương mại, do cộng đồng kiểm soát, cung cấp chứng chỉ miễn phí cho mọi người, công bố thực hiện trong cơ sở hạ tầng của bạn hỗ trợ ARI (Thông tin gia hạn ACME), một phần mở rộng của giao thức ACME cho phép gửi thông tin cho khách hàng về nhu cầu gia hạn chứng chỉ và đề xuất thời gian tốt nhất để gia hạn.
Thông số kỹ thuật ARI đang trải qua một quá trình tiêu chuẩn hóa bởi ủy ban IETF (Lực lượng Đặc nhiệm Kỹ thuật Internet), nơi phát triển các giao thức và kiến trúc Internet, và đang trong giai đoạn xem xét phiên bản sơ bộ.
ARI đã được chuẩn hóa trên IETF, một quá trình bắt đầu bằng một email từ kỹ sư Let's Encrypt Roland Shoemaker vào tháng 2020 năm 2021. Vào tháng XNUMX năm XNUMX, kỹ sư Aaron Gable của Let's Encrypt đã gửi bản thảo đầu tiên cho công việc ACME của IETF IETF và hiện ARI đang được sản xuất . Bước tiếp theo là các khách hàng của ACME bắt đầu hỗ trợ ARI, một quy trình mà chúng tôi dự định hỗ trợ hết sức có thể trong những tháng tới.
Trước khi giới thiệu ARI, khách hàng tự xác định chính sách gia hạn chứng chỉ, ví dụ: thực hiện định kỳ quy trình gia hạn thông qua Cron hoặc đưa ra quyết định dựa trên phân tích tính hợp lệ của chứng chỉ.
Cách tiếp cận này tạo ra khó khăn khi chứng chỉ cần được thu hồi sớm, chẳng hạn như người dùng cần được liên hệ qua email và buộc phải thực hiện gia hạn thủ công.
Nhóm Let's Encrypt vui mừng thông báo rằng Thông tin gia hạn ACME (ARI) đang được sản xuất! ARI giúp người đăng ký của chúng tôi có thể xử lý việc thu hồi và gia hạn chứng chỉ một cách dễ dàng và tự động như quy trình lấy chứng chỉ ngay từ đầu.
Với ARI, Let's Encrypt có thể báo hiệu cho các máy khách ACME khi nào cần gia hạn chứng chỉ. Trong trường hợp thông thường của chứng chỉ có hiệu lực trong 90 ngày, ARI có thể cho biết gia hạn sau 60 ngày. Nếu Let's Encrypted cần thu hồi chứng chỉ vì bất kỳ lý do gì, ARI có thể chỉ ra rằng việc gia hạn phải được thực hiện trước khi thu hồi. Điều này có nghĩa là ngay cả trong những trường hợp giảm nhẹ, việc gia hạn có thể được thực hiện một cách hoàn toàn tự động mà không làm gián đoạn dịch vụ của người đăng ký.
Phần mở rộng ARI rất đáng chú ý vì nó cho phép khách hàng xác định thời gian gia hạn thu hồi chứng chỉ được khuyến nghị, không bị ràng buộc với thời hạn 90 ngày của chứng chỉ và không phải lo lắng về việc bỏ lỡ cơ hội thu hồi chứng chỉ đột xuất.
Như vậy trong bài đăng trên blog Let's Encrypt, ARI được đề cập là có một số lợi ích bổ sung cho Let's Encrypt và người dùng, vì như vậy:
Trước tiên, chúng tôi có thể sử dụng ARI để giúp điều chỉnh các lần gia hạn khi cần thiết để tránh tải tăng đột biến trên cơ sở hạ tầng Let's Encrypt (tất nhiên, người đăng ký vẫn có thể gia hạn bất cứ khi nào họ muốn hoặc cần, vì ARI chỉ là một tín hiệu hoặc đề xuất). Thứ hai, ARI có thể được sử dụng để thiết lập những người đăng ký thành công về thời gian gia hạn lý tưởng nếu Let's Encrypt cung cấp các chứng chỉ có thời gian tồn tại ngắn hơn trong tương lai.
Ví dụ: trong trường hợp thu hồi sớm thông qua ARI, bản cập nhật có thể được kích hoạt sau 60 ngày thay vì 90. Ngoài ra, ARI cho phép người dùng giảm tải tối đa một cách hiệu quả trên các máy chủ của Let's Encrypt khi chọn thời điểm cập nhật dựa trên tải của cơ sở hạ tầng.
Bởi vì nếu ứng dụng khách không nhận được phản hồi hoặc nhận được phản hồi không chính xác (ví dụ: dấu thời gian kết thúc bằng hoặc sớm hơn dấu thời gian bắt đầu), ứng dụng khách có khả năng tự xác định thời điểm gia hạn chứng chỉ và bạn cũng có thể gửi lại yêu cầu thông tin gia hạn.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.