コミュニティによって管理され、誰にでも無料で証明書を提供する非商用 CA である Let's Encrypt は、情報の送信を可能にする ACME プロトコルの拡張機能である ARI (ACME Renewal Information) のサポートをインフラストラクチャに実装すると発表しました。クライアントに証明書を更新する必要性について説明し、更新に最適な時期を推奨します。 ARI仕様は、インターネットのプロトコルやアーキテクチャを開発するIETF(Internet Engineering Task Force)委員会による標準化プロセスを受けており、草案を検討している段階である。
ARI の導入前は、クライアント自身が、たとえば Cron 経由で更新プロセスを定期的に実行するか、証明書の有効期間の解析に基づいて決定を行うことによって、証明書の更新ポリシーを決定していました。 このアプローチでは、証明書を早期に失効させる必要がある場合、たとえば、ユーザーに電子メールで連絡して手動更新を強制する必要がある場合に問題が発生しました。
ARI 拡張機能を使用すると、クライアントは証明書の推奨更新時間を定義でき、証明書の有効期間 90 日に縛られず、予定外の証明書失効が見逃される可能性を心配する必要がなくなります。 たとえば、ARI による早期失効の場合、更新は 90 日ではなく 60 日後にトリガーされる可能性があります。 さらに、ARI を使用すると、インフラストラクチャの負荷に基づいて更新時間を選択することで、Let's Encrypt サーバーのピーク負荷を効果的に軽減できます。 GET https://example.com/acme/renewal-info/ "suggestedWindow": { "start": "2023-03-27T00:00:00Z", "end": "2023-03-29T00:00:00Z" " »}、
出所: オープンネット.ru