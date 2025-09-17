Root.cz  »  Bezpečnost  »  Protokol ARI standardizován v RFC 9773, umožňuje uspíšit obnovu certifikátů

Protokol ARI standardizován v RFC 9773, umožňuje uspíšit obnovu certifikátů

Petr Krčmář
Dnes
HTTPS Autor: Depositphotos

Certifikační autorita je někdy nucena revokovat větší množství certifikátů kvůli technické chybě při jejich vystavování. V závislosti na povaze incidentu musí k celé akci dojít do pěti dnů nebo dokonce čtyřiadvaceti hodin. Problém je, že by se zároveň uživatelé těchto certifikátů měli o revokaci dozvědět a nechat si vystavit nové.

K tomu byl vyvinut standard ACME Renewal Information (ARI), který umožňuje certifikační autoritě doporučit klientovi informaci o nutnosti předčasně obnovit certifikát, u kterého by klient jinak předpokládal, že ještě není nutné jej obnovovat. Autorita ovšem v danou chvíli ví, že předčasné obnovení je za současných okolností užitečné nebo nezbytné. V případě hromadného zrušení certifikátů to klientům podporujícím ARI umožňuje vyhnout se výpadkům způsobeným neplatností certifikátů.

ARI zároveň poskytuje funkce ke snížení dopadu špiček zatížení, kdy příliš mnoho klientů žádá o certifikáty v krátkém časovém období. Let’s Encrypt dnes ARI k tomuto účelu nepotřebuje, protože další vylepšení v postupech populárních klientů již dostatečně vyrovnaly naše špičky zatížení, píše Aaron Gable z Let's Encrypt. I tak může být tato funkce pro další certifikační autority využívající ACME velmi užitečná.

Certifikační autorita Let's Encrypt oznámila, že IETF zveřejnila ARI jako standard RFC 9773. ARI pomáhá udržovat spolehlivost procesu obnovy během neočekávaných událostí, které ovlivňují platnost certifikátu, dodává Aaron Gable. ARI zavádí do protokolu ACME novou položku RenewalInfo, která umožňuje klientům dotazovat se serveru na doporučení, kdy by měli obnovit certifikáty. Aktuální klienti podporující ACME by se na tuto položku měli autority ptát.

