Let’s Encrypt čoskoro prestane podporovať OCSP, prvé kroky začnú už v januári

Značky: SSL / TLS

DSL.sk, 10.12.2024

Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, čoskoro prestane podporovať štandard OCSP, Online Certificate Status Protocol, a prvý krok v obmedzení jeho podpory uskutoční už v januári.

Let's Encrypt o tom informuje v tomto oznámení.

OCSP je jedným z dvoch mechanizmov používaných pre kontrolu prípadného predčasného zneplatnenia certifikátov pred koncom ich platnosti. Softvér overujúci platnosť certifikátu, napríklad webový prehliadač pri návšteve webu, cez OCSP kontaktuje servery certifikačnej autority a overuje platnosť daného konkrétneho certifikátu.

Tento mechanizmus ale potenciálne ohrozuje súkromie, keďže OCSP servery certifikačnej autority majú informácie o IP adrese klienta a navštívenom webe.

Druhým mechanizmom je CRL, Certificate Revocation List, pri ktorom si prehliadače sťahujú celé zoznamy zneplatnených certifikátov a informácie o navštevovaných weboch tak nie sú serverom certifikačnej autority dostupné.

Let's Encrypt od spustenia podporovala OCSP a v roku 2022 pridala podporu CRL. Po tom, ako v minulom roku CA/Browser Forum označilo OCSP už iba za voliteľné pre certifikačné autority, Let's Encrypt v júli oznámila zámer čoskoro prestať podporovať OCSP.

Hlavným dôvodom má byť podľa oznámení riziko OCSP pre ochranu súkromia na Internete. Zároveň je prevádzka OCSP serverov náročná a podľa Let's Encrypt vyžaduje významné zdroje.

Dopad OCSP na ochranu súkromie umožňuje obmedziť tzv. OCSP Stapling, pri ktorom OCSP odpoveď posiela pri vytváraní TLS spojenia priamo TLS server. V certifikáte môže byť prítomné rozšírenie OCSP Must Staple, klient v takom prípade nekontaktuje servery certifikačnej autority a vyžaduje OCSP odpoveď pri vytváraní TLS spojenia.

Let's Encrypt od 30. januára 2025 bude podporovať vydávanie certifikátov s rozšírením OCSP Must Staple len pre účty, ktoré už v minulosti vytvorili certifikát s takýmto rozšírením. Pre ostatných k dispozícii už nebude.

Od 7. mája 2025 prestane v certifikátoch zahŕňať URL pre OCSP a úplne prestane vydávať certifikáty s OCSP Must Staple. Predtým začne do certifikátov pridávať URL pre CRL.

Následne od 6. augusta 2025 Let's Encrypt úplne vypne OCSP servery.




Najnovšie články:



Diskusia:

dnes má meniny Radúz a Mahuliena Od: Teta Žoržeta | Pridané: 10.12.2024 12:57 Čo to znamená pre nás užívateľov? Odpovedať Známka: 10.0 Hodnotiť:

ultraradikálny fakticizmus Od: syntaxterrorXXX, . Y | Pridané: 10.12.2024 13:06 V kontexte ako širokých súvislostí? Nakoľko za účelom potenciálneho vyzdvihovania budúceho synergetického efektu môžu eventuálne dopady priekazne pomerne výrazne zasahovať do realizovateľnosti vízie i vplyvom vedľajších efektov. Odpovedať Známka: -2.0 Hodnotiť:

Re: dnes má meniny Radúz a Mahuliena Od: 6aaaaaa | Pridané: 10.12.2024 16:33 v podstate uz nic. tu jedno uberu a tam zas dva pridaju takze je to jedno Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Radúz a Mahuliena Od: Jaaasom | Pridané: 10.12.2024 21:25 Nie je to nič. Keď jedno uberú a dva pridajú, tak fakt je to jedno naviac. Odpovedať Hodnotiť:

Re: dnes má meniny Radúz a Mahuliena Od: kdfukgao;'08y754aads | Pridané: 10.12.2024 21:36 pre bezneho uzivatela to nic neznamena, iba ITeckari sa budu musiet prisposobit, co je bezna vec, lebo sa stale nieco meni Odpovedať Hodnotiť:

Ako to prebieha. Od: Baltazár Kokoschka | Pridané: 11.12.2024 8:58 Prvé kroky sú významná udalosť. Oslava prebieha tradične v rodinnom kruhu, konzumujú sa obložené chlebíčky a alkohol. V závere oslavy nie je vylúčená výtržnosť a hysterické výstupy. Odpovedať Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX, . Y | Pridané: 11.12.2024 9:35 Presne tak. Sú oslavou reptiliánov nad priekazne úspešným zahájením psychologického útoku na podstatu človeka dogmatizáciou, že nedokáže lietať. Odpovedať Hodnotiť:

Pridať komentár