Das gemeinnützige Zertifizierungszentrum Let's Encrypt, das von der Community betrieben wird und kostenlos Zertifikate für alle Interessierten bereitstellt, hat die Einführung der Unterstützung für ARI (ACME Renewal Information) in seiner Infrastruktur angekündigt. Diese Erweiterung des ACME-Protokolls ermöglicht es, dem Kunden Informationen über die Notwendigkeit zur Aktualisierung von Zertifikaten zu übermitteln und den optimalen Zeitpunkt für die Erneuerung zu empfehlen. Die ARI-Spezifikation befindet sich im Standardisierungsprozess durch das IETF-Komitee (Internet Engineering Task Force), das sich mit der Entwicklung von Internetprotokollen und -architekturen befasst, und wird derzeit geprüft.
Vor der Einführung von ARI legte der Kunde die Richtlinien zur Aktualisierung des Zertifikats selbst fest, indem er beispielsweise regelmäßig den Aktualisierungsprozess über Cron startete oder Entscheidungen basierend auf der Analyse der Lebensdauer des Zertifikats traf. Ein solcher Ansatz führte zu Schwierigkeiten, wenn es notwendig war, Zertifikate vorzeitig zu widerrufen. In solchen Fällen musste man die Nutzer per E-Mail kontaktieren und sie zur manuellen Aktualisierung auffordern.
Die ARI-Erweiterung ermöglicht es dem Kunden, die empfohlene Zeit für das Aktualisieren des Zertifikats festzulegen, ohne an die 90-tägige Lebensdauer der Zertifikate gebunden zu sein, und ohne sich Sorgen machen zu müssen, dass im Falle eines außerplanmäßigen Widerrufs des Zertifikats etwas übersehen wird. Bei einem vorzeitigen Widerruf durch ARI kann die Aktualisierung beispielsweise nicht nach 90, sondern nach 60 Tagen initiiert werden. Darüber hinaus ermöglicht ARI ein effizientes Glätten der Spitzenlast auf Server Let’s Encrypt, indem die Zeit für die Aktualisierung unter Berücksichtigung der Auslastung der Infrastruktur gewählt wird. GET https://example.com/acme/renewal-info/ „suggestedWindow“: { „start“: „2023-03-27T00:00:00Z“, „end“: „2023-03-29T00:00:00Z“ },
Quelle: opennet.ru
