Let's Encrypt beëindig ondersteuning vir die OCSP-protokol vir die nagaan van herroepingsertifikate

Let's Encrypt, 'n nie-winsgewende sertifikaatowerheid wat deur die gemeenskap beheer word en sertifikate gratis aan almal verskaf, het besluit om op te hou om die OCSP (Online Certificate Status Protocol)-protokol te ondersteun wat gebruik word om die herroeping van sertifikate na te gaan. In plaas van die OCSP-protokol, word voorgestel om sertifikaatherroepingslyste (CRL - Certificate Revocation List) te gebruik, gepubliseer deur die Let's Encrypt-diens vanaf 2022. Op 7 Mei 2025 sal Let's Encrypt die byvoeging van OCSP-adresverwysings na uitgereikte sertifikate deaktiveer en sal ophou om versoeke te verwerk wat die gebruik van die "OCSP Must Staple"-uitbreiding behels. Op 6 Augustus 2025 sal OCSP-versoekhanteerders op bedieners gedeaktiveer word.

Privaatheidskwessies word aangehaal as die rede vir die afskaffing van OCSP-ondersteuning. Die gebruik van OCSP vereis dat die kliëntstelsel, elke keer as 'n veilige verbinding tot stand gebring word om die geldigheid van 'n sertifikaat te verifieer, 'n versoek aan die OCSP-bediener van die CA wat die sertifikaat gegenereer het, stuur. In reaksie hierop verskaf die bediener inligting oor of die gespesifiseerde sertifikaat vertrou kan word. Die probleem is dat die CA inligting ontvang oor wanneer en watter webwerwe die gebruiker besoek, gebaseer op hul ... IP adres, wat as 'n lek van vertroulike data beskou kan word. Verder veroorsaak die gebruik van OCSP 'n vertraging in versoekverwerking, vereis dit dat die gebruiker gewaarborgde netwerktoegang het, en skep dit 'n afhanklikheid van die ononderbroke werking van OCSP-bedieners.

Om privaatheidskwessies aan te spreek wanneer sertifikaatherroepings nagegaan word, is OCSP Stapling-tegnologie ontwikkel. Die idee is dat OCSP-antwoorde wat deur 'n sertifiseringsowerheid geverifieer word, deur bedieners wat webwerwe bedien, oorgedra kan word tydens die onderhandeling van 'n TLS-verbinding met 'n kliënt (die oordrag van OCSP-inligting word oorgedra na bedieners webwerwe, wat die behoefte vir die kliëntstelsel om direk met die OCSP-bediener van die sertifiseringsowerheid in verbinding te tree, uitskakel, terwyl die korrektheid van die antwoorde deur die digitale handtekening van die sertifiseringsowerheid verseker word).

Benewens OCSP Stapling, is daar 'n "OCSP Must Staple"-uitbreiding wat by sertifikate gevoeg word, wat blaaiers opdrag gee om die OCSP Stapling-tegniek te gebruik in plaas daarvan om direk met OCSP-bedieners in verbinding te tree en vereis dat die sertifikaat as onbetroubaar beskou word as die bediener wat die webwerf bedien nie gee 'n gesertifiseerde OCSP-antwoord terug. Ongelukkig word die "Must Staple"-uitbreiding nie algemeen in blaaiers gebruik nie, en OCSP Stapling-tegnologie is gekoppel aan die behoefte om eksplisiet ondersteuning aan die HTTP-bedienerkant te aktiveer (ondersteun in nginx sedert 2013).

Wanneer CRL gebruik word, word sertifikaatherroepingskontrole op die plaaslike stelsel uitgevoer met behulp van lyste wat deur die sertifiseringsowerheid gegenereer is. Die nadele van hierdie benadering is die baie groot grootte van die afgelaaide data en die voorkoms van 'n tydgaping in die relevansie van inligting (byvoorbeeld, in Firefox word data een keer elke 6 uur opgedateer). Die probleem met die grootte word in blaaiers opgelos deur CRL-instaanbedieners op die bedieners van blaaiervervaardigers - die blaaiers sluit 'n basiese CRL in, wat tydens werking periodiek gesinchroniseer word met die huidige lys (slegs veranderde data word na die kliënt se stelsel oorgedra). Om die grootte van die CRL-databasis te verminder, word 'n probabilistiese Bloom-filterstruktuur gebruik, wat dit moontlik maak om die volledige CRL-databasis op die kliëntkant in 'n baie kompakte voorstelling te stoor. In Firefox word 'n soortgelyke tegniek geïmplementeer met behulp van die CRLite toolkit, en in Chrome, CRLSets.

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster