Let's Encrypt, een niet-commerciële CA, gecontroleerd door de gemeenschap en die gratis certificaten verstrekt aan iedereen, heeft de implementatie in zijn infrastructuur aangekondigd van ondersteuning voor ARI (ACME Renewal Information), een uitbreiding van het ACME-protocol waarmee u informatie kunt verzenden aan de klant over de noodzaak om certificaten te vernieuwen en de beste tijd voor vernieuwing aan te bevelen. De ARI-specificatie ondergaat een standaardisatieproces door de IETF-commissie (Internet Engineering Task Force), die de protocollen en architectuur van het internet ontwikkelt, en bevindt zich in het stadium van het beoordelen van een conceptversie.
Voorafgaand aan de introductie van ARI bepaalde de klant zelf het vernieuwingsbeleid van het certificaat, bijvoorbeeld door het vernieuwingsproces periodiek via Cron te laten lopen, of door beslissingen te nemen op basis van het parsen van de levensduur van het certificaat. Deze aanpak leidde tot problemen wanneer het nodig was om certificaten vroegtijdig in te trekken, bijvoorbeeld om gebruikers per e-mail te contacteren en hen te dwingen een handmatige verlenging uit te voeren.
Met de ARI-extensie kan de klant een aanbevolen vernieuwingstijdstip voor certificaten definiëren, niet gebonden zijn aan de levensduur van certificaten van 90 dagen en zich geen zorgen maken dat een ongeplande certificaatintrekking wordt gemist. In het geval van een vroegtijdige intrekking via ARI kan de update bijvoorbeeld na 90 dagen in plaats van na 60 dagen worden geactiveerd. Bovendien kunt u met ARI de piekbelasting op Let's Encrypt-servers effectief afvlakken door de tijd voor updaten te kiezen op basis van de belasting van de infrastructuur. GET https://example.com/acme/renewal-info/ "suggestedWindow": { "start": "2023-03-27T00:00:00Z", "end": "2023-03-29T00:00:00Z »},
Bron: opennet.ru