Let's Encrypt 是一個提供免費 X.509 證書的證書頒發機構
最近 讓我們加密, 一個非商業的、社區控制的 CA,它向所有人免費提供證書, 宣布實施 在您的基礎設施中 支持 ARI (ACME 續訂信息),ACME 協議的擴展 允許向客戶端發送有關需要更新證書的信息 並推薦更新的最佳時間。
ARI規範 正在經歷一個標準化過程 由 IETF 委員會(互聯網工程任務組)開發互聯網協議和體系結構,目前正處於初步版本的審查階段。
ARI 在 IETF 上被標準化,這一過程始於 2020 年 2021 月 Let's Encrypt 工程師 Roland Shoemaker 的一封電子郵件。XNUMX 年 XNUMX 月,Let's Encrypt 工程師 Aaron Gable 向 IETF IETF ACME 工作提交了初稿,現在 ARI 已投入生產. 下一步是讓 ACME 客戶開始支持 ARI,我們計劃在未來幾個月內盡我們所能幫助這一過程。
在引入 ARI 之前,客戶端自己確定證書更新策略,例如通過 Cron 定期執行更新過程,或者根據證書有效性的分析來做出決定。
當需要過早撤銷證書時,這種方法會造成困難,例如,需要通過電子郵件聯繫用戶並強制執行手動續訂。
Let's Encrypt 團隊很高興地宣布 ACME 更新信息 (ARI) 正在製作中! ARI 使我們的訂戶能夠像最初獲取證書的過程一樣輕鬆自動地處理證書吊銷和更新。
借助 ARI,Let's Encrypt 可以在更新證書時向 ACME 客戶端發送信號。 在有效期為 90 天的證書的正常情況下,ARI 可以指示在 60 天時更新。 如果 Let's Encrypted 出於任何原因需要吊銷證書,ARI 可能會指示必須在吊銷之前完成更新。 這意味著即使在情有可原的情況下,也可以在不中斷訂戶服務的情況下以全自動方式完成續訂。
擴展名 ARI 非常出色,因為它允許客戶定義續訂時間 建議吊銷證書,不受 90 天證書有效期的限制,也不用擔心錯過計劃外的證書吊銷。
因此,在 Let's Encrypt 博客文章中,ARI 被提到為 Let's Encrypt 和用戶帶來了一些額外的好處,因為這樣:
首先,我們可以使用 ARI 來幫助根據需要調整續訂,以避免 Let's Encrypt 基礎設施上的負載峰值(當然,訂閱者仍然可以在他們想要或需要的時候續訂,因為 ARI 只是一個信號或建議)。。 其次,如果 Let's Encrypt 將來提供更短壽命的證書,ARI 可用於在理想的續訂時間方面為訂戶成功做好準備。
例如,在通過 ARI 提前撤銷的情況下,更新可以在 60 天而不是 90 天后激活。此外,ARI 允許用戶有效地平滑 Let's Encrypt 服務器上的峰值負載。基礎設施的負載。
因為如果客戶端沒有收到響應或收到不正確的響應(例如,結束時間戳等於或早於開始時間戳),客戶端有能力自行決定何時更新證書,而您也可以重新提交更新信息的請求。
終於 如果您有興趣了解更多信息,您可以在中查看詳細信息 以下鏈接。