Let's Encrypt, in non-profit sertifikaatautoriteit dy't wurdt kontrolearre troch de mienskip en leveret sertifikaten fergees oan elkenien, hat besletten op te hâlden mei it stypjen fan it OCSP (Online Certificate Status Protocol), brûkt om it ynlûken fan sertifikaten te kontrolearjen. Yn stee fan it OCSP-protokol wurdt it foarsteld om sertifikaten ynlûkingslisten te brûken (CRL - Certificate Revocation List), publisearre troch de Let's Encrypt-tsjinst begjinnend yn 2022. Op 7 maaie 2025 sil Let's Encrypt de tafoeging fan OCSP-adresferwizings nei útjûne sertifikaten útskeakelje en sil ophâlde mei it ferwurkjen fan fersiken wêrby't it gebrûk fan 'e "OCSP Must Staple"-útwreiding is. Op 6 augustus 2025 sille OCSP-oanfraachhannelers wurde útskeakele op servers.
Privacysoargen wurde oanjûn as de reden foar it ôfskaffen fan OCSP-stipe. It brûken fan OCSP fereasket dat, elke kear as in feilige ferbining wurdt makke om de jildigens fan in sertifikaat te ferifiearjen, it kliïntsysteem in fersyk stjoert nei de OCSP-tsjinner fan 'e CA dy't it sertifikaat generearre hat. As antwurd jout de tsjinner ynformaasje oer oft it oantsjutte sertifikaat fertroud wurde kin. It probleem is dat de CA ynformaasje krijt oer wannear en hokker websiden de brûker besiket, basearre op harren IP adres, wat beskôge wurde kin as in lek fan fertroulike gegevens. Fierder bringt it brûken fan OCSP in fertraging mei yn 'e ferwurking fan oanfragen, fereasket it dat de brûker garandearre netwurktagong hat, en skept it in ôfhinklikens fan 'e ûnûnderbrutsen wurking fan OCSP-tsjinners.
Om privacyproblemen oan te pakken by it kontrolearjen fan sertifikaten dy't ynlutsen binne, is OCSP Stapling-technology ûntwikkele. It idee is dat OCSP-antwurden dy't ferifiearre binne troch in sertifikaasjeautoriteit, oerbrocht wurde kinne troch servers dy't websiden tsjinje tidens de ûnderhanneling fan in TLS-ferbining mei in kliïnt (de oerdracht fan OCSP-ynformaasje wurdt oerdroegen oan servers siden, wat de needsaak foar it kliïntsysteem elimineert om direkt kontakt op te nimmen mei de OCSP-tsjinner fan 'e sertifikaasjeautoriteit, wylst de krektens fan 'e antwurden garandearre wurdt troch de digitale hântekening fan 'e sertifikaasjeautoriteit).
Neist OCSP Stapling is d'r in "OCSP Must Staple" tafoeging tafoege oan sertifikaten, dy't browsers ynstruearret om de OCSP Stapling-technyk te brûken ynstee fan direkt kontakt op te nimmen mei OCSP-tsjinners en fereasket dat it sertifikaat as ûnbetrouber beskôge wurdt as de tsjinner dy't de side betsjinnet net docht werom in sertifisearre OCSP antwurd. Spitigernôch wurdt de "Must Staple" tafoeging net in soad brûkt yn browsers, en OCSP Stapling technology is bûn oan de needsaak om eksplisyt ynskeakelje stipe oan de HTTP-tsjinner side (stipe yn nginx sûnt 2013).
By it brûken fan CRL, wurdt kontrôle fan it ynlûken fan sertifikaat útfierd op it lokale systeem mei listen generearre troch de sertifisearingsautoriteit. De neidielen fan dizze oanpak binne de tige grutte grutte fan 'e downloade gegevens en it ferskinen fan in tiidkloof yn' e relevânsje fan ynformaasje (bygelyks yn Firefox wurde gegevens ien kear elke 6 oeren bywurke). It probleem mei de grutte wurdt oplost yn browsers troch CRL-proxying op 'e servers fan browserfabrikanten - de browsers befetsje in basis CRL, dy't yn' e operaasje periodyk syngronisearre wurdt mei de aktuele list (allinich feroare gegevens wurde oerbrocht nei it systeem fan 'e kliïnt). Om de grutte fan 'e CRL-databank te ferminderjen, wurdt in probabilistyske Bloom-filterstruktuer brûkt, wêrtroch't de folsleine CRL-databank op 'e kliïntside yn in heul kompakte fertsjintwurdiging opslein wurdt. Yn Firefox wurdt in ferlykbere technyk ymplementearre mei de CRLite toolkit, en yn Chrome, CRLSets.
Boarne: opennet.ru
