Boulder项目中关于待处理授权撤销的优化方案分析

背景介绍

在Boulder项目（Let's Encrypt的ACME服务器实现）中，授权（Authorization）是证书颁发流程中的关键环节。近期发现某些客户端存在一种不良行为模式：快速创建新订单和关联的授权后，立即撤销这些待处理的授权，导致系统资源浪费和潜在的性能问题。

问题现状

当前系统中，撤销待处理的授权（pending authz）存在两个主要问题：

1. 无法有效防止成功验证的重复使用
2. 阻止了系统在后续请求中重用这些待处理授权及其关联订单

更糟糕的是，某些客户端会反复执行以下操作流程：

• 快速创建新订单和关联授权
• 立即撤销这些待处理授权（同时使订单失效）
• 不断重复上述过程

问题影响

这种行为在存在先前成功订单的情况下尤为严重，因为此类请求会被视为续期操作，从而绕过常规的速率限制机制。这可能导致：

• 系统资源被无效消耗
• 服务器性能下降
• 其他正常用户的请求可能受到影响

解决方案

经过分析，提出以下优化方案：

将撤销待处理授权操作纳入现有验证失败限制机制

具体实现要点：

1. 当客户端撤销待处理授权时，该操作会计入现有的验证失败限制
2. 如果客户端创建并撤销足够多的授权，将被限制创建新订单
3. 如果这种行为持续足够长时间，客户端将被自动暂停

例外情况处理：

• 不将撤销"有效"（valid）授权计入限制
• 允许用户在授权使用后撤销，以防止系统在后续订单中重用这些授权

技术实现考量

该方案具有以下优势：

1. 实现简单，复用现有机制
2. 针对性强，专门处理滥用行为
3. 不影响正常使用场景

预期效果

实施后预计将：

• 有效遏制客户端的滥用行为
• 减少系统资源浪费
• 提高整体服务稳定性
• 保持对合规用户的良好支持

总结

这一优化体现了Boulder项目在平衡安全性和可用性方面的持续改进，通过精细化的速率限制策略，既防止了系统滥用，又确保了正常用户的使用体验。