ARI steht für ACME Renewal Information und ist eine Erweiterung des ACME-Protokolls (Automatic Certificate Management Environment). Sie wurde entwickelt, um die Erneuerung von TLS-Zertifikaten besser zu steuern und dynamisch zu koordinieren.

ARI ermöglicht es einer Zertifizierungsstelle (CA), dem ACME-Client mitzuteilen:

• Wann ein Zertifikat erneuert werden sollte
• Ob ein Zertifikat vorzeitig ersetzt werden muss (z. B. bei Widerruf)
• Welche Zertifikate durch neue ersetzt werden dürfen (Identifikator-Abgleich)

ACME-Clients erneuern Zertifikate traditionell nach festen Regeln:

• Zeitgesteuert (z. B. via Cronjob)
• Kurz vor Ablaufdatum
• Nach einem festen Prozentsatz der Laufzeit

Diese Methoden führen zu:

• Lastspitzen bei der CA
• Unkoordinierten Erneuerungen
• Problemen bei Massenwiderrufen

ARI löst das, indem die CA dem Client direkt mitteilt:

• „Bitte erneuere zwischen Tag X und Y“
• „Dieses Zertifikat wird bald widerrufen – ersetze es jetzt“
• „Dieses neue Zertifikat ersetzt exakt das alte mit denselben Domains“

• ARI funktioniert nur, wenn die Domainliste des neuen Zertifikats exakt mit dem alten übereinstimmt.
• Bei geänderten Domains (z. B. Domain entfernt oder hinzugefügt) schlägt die Ersetzung fehl:

Failed to create order: Could not validate ARI 'replaces' field :: identifiers in this order do not match...

• Win-ACME unterstützt ARI seit Version 2.2.9.1
• Bei Domainwechseln muss ARI deaktiviert oder ein neuer Auftrag erstellt werden
• Renewal-Einträge sollten bei Konflikten manuell entfernt werden

• ARI wurde von Let’s Encrypt initiiert und in die IETF eingebracht
• Seit September 2025 als RFC 9773 veröffentlicht

→ [ACME Renewal Information – RFC 9773](https://www.rfc-editor.org/rfc/rfc9773.html)

• Win-acme
• [ACME-Protokoll – Wikipedia](https://de.wikipedia.org/wiki/Automatic_Certificate_Management_Environment)
• [Let’s Encrypt Blog zur ARI-Veröffentlichung](https://letsencrypt.org/2025/09/16/ari-rfc)