自 2023 年 3 月起,Let’s Encrypt 一直通过 ACME 续订信息 (ARI) 提高其弹性和可靠性。ARI 使我们的订阅者能够轻松自动地处理证书吊销和续订。ARI 的主要优势是它为订阅者在 Let’s Encrypt 提供更短有效期的证书(甚至短于 90 天)时,在理想续订时间方面取得成功奠定了基础。我们最近发布了 工程师如何将 ARI 集成到现有 ACME 客户端的指南

在这篇博文中,我们将探讨 Let’s Encrypt 订阅者 Tailscale 采用 ARI 的体验

总共只需要两位 Tailscale 工程师不到两天的时间来实施 ARI。在采用 ARI 之前,Tailscale 团队已经对证书续订逻辑进行了其他迭代,包括在证书到期前 14 天硬编码续订以及在到期前硬编码剩余时间的 1/3。这些方法的问题是,它们对 Let’s Encrypt 发行的证书的有效期做出了假设,而这在将来会发生变化。相比之下,ARI 使 Tailscale 能够将续订决定外包给 Let’s Encrypt,而无需做出任何假设。

Tailscale 指出,在证书有效期开始缩短之前,ARI 尤其有用,因为负责请求和续订证书的客户端软件正在用户机器上运行。这意味着如果出现任何问题,他们无法轻松地在一夜之间更新整个机群。由于 ARI,他们降低了未能在时间内为客户端机器轮换证书或因过于积极的轮换逻辑而导致 Let’s Encrypt 基础设施负载过大的风险。

Tailscale 团队在决定采用 ARI 时考虑的一个因素是希望避免为续订添加对 Let’s Encrypt 基础设施的硬依赖。为了解决这个问题,Tailscale 证书续订逻辑在无法到达 ARI 端点的情况下回退到基于本地时间的检查。

Tailscale 的 ARI 上线路线图

该团队报告在过程中遇到了一个障碍。由于 RFC 尚未最终确定,ACME 的上游 Go 包 尚不支持 ARI。作为解决方案,他们在其对该 Go 包的 fork 中添加了支持。Tailscale 对采用 ARI 的订阅者的主要建议是:不要忘记在您的 ARI 请求中设置超时!

我们感谢 Tailscale 团队抽出时间与我们分享他们采用 ARI 的经验和对其他订阅者的建议。除了是 ARI 的采用者之外,Tailscale 还是 Let’s Encrypt 的赞助商!我们感谢他们对我们建设更安全网络工作的支持。

我们也感谢普林斯顿大学与我们合作开展 ACME 续订信息工作,这得益于 开放技术基金 的慷慨支持。

互联网安全研究小组 (ISRG)Let’s EncryptProssimoDivvi Up 的母组织。ISRG 是一家 501(c)(3) 非营利组织。如果您想支持我们的工作,请考虑 参与进来捐赠 或鼓励您的公司 成为赞助商