[Feature] 添加对 ARI 的支持 V #591
Description
ARI(ACME 续订信息)API 提供了一种方式,由 ACME 服务器提示最佳的续订证书时间窗口
实现对 ARI 的支持将带来以下好处:
- 不受速率限制的影响
Let's Encrypt 限制每个已注册域名每 7 天最多签发 50 张证书;每一组确切的标识符每 7 天最多签发 5 张证书,包括续期。以及对于 IP 地址、账户的速率限制。但通过 ARI 进行的续签不受任何速率限制影响
- 避免受到证书吊销的影响
Let's Encrypt 和其他 CA 在历史上都因为错误签发(技术和管理上的原因)证书而不得不吊销所有受影响的证书,可能波及数万数十万甚至数百万张证书。一旦被吊销,除非管理员非常关注这类新闻,或者收到用户反馈,否则可能无法及时签发新的证书。但 ARI 会向客户端提示更新证书,如果客户端正确遵守 ARI,则可以有效避免此类影响
- 便于过渡到更短的证书有效期
CA/B 已经决定从 2026 年开始逐渐削减证书的最大有效期,每年会削减一部分直到证书最大有效期到 47 天,免费证书提供商可能会更激进地跟进这一计划,提前削减证书的最大有效期。同时 Let's Encrypt 即将上线的 IP 证书限制最大有效期为 160 小时。为每一种证书单独设置提前续期日期会相对复杂,采用 ARI 可以确保在最佳时间续期证书
ARI 相关文档:
https://letsencrypt.org/2024/04/25/guide-to-integrating-ari-into-existing-acme-clients