Let's Encrypt внедрил расширение для координации обновления сертификатов

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о реализации в своей инфраструктуре поддержки ARI (ACME Renewal Information), расширения протокола ACME, позволяющего передавать клиенту сведения о необходимости обновления сертификатов и рекомендовать оптимальное время для обновления. Спецификация ARI проходит процесс стандартизации комитетом IETF (Internet Engineering Task Force), занимающимся развитием протоколов и архитектуры интернета, и находится на стадии проверки чернового варианта.

До внедрения ARI клиент сам определял политику обновления сертификата, например, периодически запуская процесс обновления через Cron или принимая решения на основе разбора времени жизни сертификата. Подобный подход приводил к трудностям при необходимости досрочного отзыва сертификатов, например, приходилось связываться с пользователями по email и вынуждать их выполнять ручное обновление.

Расширение ARI позволяет клиенту определить рекомендуемое время обновления сертификата, не привязываться к 90-дневному времени жизни сертификатов и не беспокоиться, что может быть пропущен внеплановый отзыв сертификта. Например, в случае досрочного отзыва через ARI обновление может быть инициировано не через 90, а через 60 дней. Кроме того, ARI позволяет эффективно сглаживать пиковую нагрузку на серверы Let’s Encrypt, выбирая время для обновления с учётом загруженности инфраструктуры. GET https://example.com/acme/renewal-info/ «suggestedWindow»: { «start»: «2023-03-27T00:00:00Z», «end»: «2023-03-29T00:00:00Z» },

Источник: opennet.ru

Добавить комментарий