Accueil Astuces et Informations ARI, une extension Let’s Encrypt pour coordonner les renouvellements de certificats

ARI, une extension Let’s Encrypt pour coordonner les renouvellements de certificats

1
2
Let's Encrypt

Let’s Encrypt​ est une autorité de certification qui fournit des certificats X.509 gratuits

Récemment Chiffrez, une autorité de certification non commerciale contrôlée par la communauté qui fournit des certificats gratuitement à tout le monde, annoncé la mise en place dans vos infrastructures prise en charge de l’ARI (ACME Renewal Information), une extension du protocole ACME qui permet d’envoyer des informations au client sur la nécessité de renouveler les certificats et recommander le meilleur moment pour le renouvellement.

La spécification ARI passe par un processus de normalisation par le comité IETF (Internet Engineering Task Force), qui développe les protocoles et l’architecture Internet, et est en phase d’examen d’une version préliminaire.

ARI a été standardisé sur l’IETF, un processus qui a commencé par un e-mail de l’ingénieur Let’s Encrypt Roland Shoemaker en mars 2020. En septembre 2021, l’ingénieur Let’s Encrypt Aaron Gable a soumis le premier projet au travail IETF IETF ACME, et maintenant ARI est en production . La prochaine étape consiste pour les clients ACME à commencer à prendre en charge ARI, un processus que nous prévoyons d’aider du mieux que nous pouvons dans les mois à venir.

Avant l’introduction d’ARI, le client déterminait lui-même la politique de renouvellement du certificat, par exemple en exécutant périodiquement le processus de renouvellement via Cron ou en prenant des décisions basées sur l’analyse de la validité du certificat.

Cette approche créait des difficultés lorsque les certificats devaient être révoqués prématurément, par exemple, les utilisateurs devaient être contactés par e-mail et obligés d’effectuer un renouvellement manuel.

L’équipe Let’s Encrypt est ravie d’annoncer que les informations de renouvellement ACME (ARI) sont en cours de production ! ARI permet à nos abonnés de gérer la révocation et le renouvellement des certificats aussi facilement et automatiquement que le processus d’obtention d’un certificat en premier lieu.

Avec ARI, Let’s Encrypt peut signaler aux clients ACME quand renouveler les certificats. Dans le cas normal d’un certificat d’une validité de 90 jours, ARI pourrait indiquer le renouvellement à 60 jours. Si Let’s Encrypted doit révoquer un certificat pour une raison quelconque, ARI peut indiquer que le renouvellement doit être effectué avant la révocation. Cela signifie que même dans des circonstances atténuantes, le renouvellement peut se faire de manière entièrement automatisée sans interrompre les services de l’abonné.

L’extension ARI est remarquable, car il permet au client de définir un temps de renouvellement révocation de certificat recommandée, ne pas être lié à la durée de vie du certificat de 90 jours et ne pas craindre de manquer une révocation de certificat imprévue.

En tant que tel dans le billet de blog Let’s Encrypt, ARI est mentionné comme ayant quelques avantages supplémentaires pour Let’s Encrypt et les utilisateurs, car en tant que tel :

Tout d’abord, nous pouvons utiliser ARI pour aider à moduler les renouvellements selon les besoins afin d’éviter les pics de charge sur l’infrastructure Let’s Encrypt (bien sûr, les abonnés peuvent toujours renouveler quand ils le souhaitent ou en ont besoin, car ARI n’est qu’un signal ou une suggestion). . Deuxièmement, ARI peut être utilisé pour préparer les abonnés au succès en termes de délais de renouvellement idéaux si Let’s Encrypt propose des certificats à durée de vie encore plus courte à l’avenir.

Par exemple, dans le cas d’une révocation anticipée via ARI, la mise à jour pourrait être activée après 60 jours au lieu de 90. De plus, ARI permet à l’utilisateur de lisser efficacement le pic de charge sur les serveurs de Let’s Encrypt lors du choix du moment de la mise à jour en fonction de la charge de l’infrastructure.

Parce que si le client ne reçoit aucune réponse ou reçoit une réponse incorrecte (par exemple, un horodatage de fin égal ou antérieur à l’horodatage de début), le client a la possibilité de déterminer lui-même quand renouveler le certificat, et vous peut également soumettre à nouveau la demande d’informations sur le renouvellement.

Finalement Si vous êtes intéressé à en savoir plus à ce sujetvous pouvez vérifier les détails dans le lien suivant.