Қауымдастық бақылайтын және сертификаттарды барлығына тегін беретін «Let's Encrypt» коммерциялық емес сертификаттау органы сертификаттардың күшін жоюын тексеру үшін пайдаланылатын OCSP (Онлайн сертификат күйінің хаттамасы) қолдауын тоқтату туралы шешім қабылдады. OCSP протоколының орнына 2022 жылдан бастап Let's Encrypt қызметі жариялаған сертификатты қайтарып алу тізімдерін (CRL - Certificate Revocation List) пайдалану ұсынылады. 7 жылдың 2025 мамырында Let's Encrypt бағдарламасы берілген сертификаттарға OCSP мекенжай сілтемелерін қосуды өшіреді және "OCSP Must Staple" кеңейтімін пайдаланумен байланысты сұрауларды өңдеуді тоқтатады. 6 жылдың 2025 тамызында OCSP сұрау өңдеушілері серверлерде өшіріледі.
Құпиялылыққа қатысты мәселелер OCSP қолдауын тоқтатудың себебі ретінде келтірілген. OCSP пайдалану сертификаттың жарамдылығын тексеру үшін қауіпсіз қосылым орнатылған сайын, клиенттік жүйе сертификатты жасаған CA-ның OCSP серверіне сұрау жіберуін талап етеді. Жауап ретінде сервер көрсетілген сертификатқа сенуге болатындығы туралы ақпарат береді. Мәселе CA пайдаланушының қашан және қай веб-сайттарға кіретіні туралы ақпаратты олардың деректеріне сүйене отырып алады. IP мекенжайы, бұл құпия деректердің ағып кетуі деп санауға болады. Сонымен қатар, OCSP пайдалану сұранысты өңдеуде кідіріс тудырады, пайдаланушыдан желіге кепілдік берілген кіруді талап етеді және OCSP серверлерінің үздіксіз жұмысына тәуелділікті тудырады.
Сертификаттың күшін жоюды тексеру кезінде құпиялылық мәселелерін шешу үшін OCSP степлинг технологиясы жасалды. Идеясы - сертификаттау органы тексерген OCSP жауаптарын клиентпен TLS қосылымын келіссөздер жүргізу кезінде веб-сайттарға қызмет көрсететін серверлер бере алады (OCSP ақпаратының берілуі ... беріледі). серверлер сайттар, бұл клиенттік жүйенің сертификаттау органының OCSP серверімен тікелей байланысу қажеттілігін жояды, ал жауаптардың дұрыстығы сертификаттау органының цифрлық қолтаңбасымен қамтамасыз етіледі).
OCSP Stapling қызметіне қосымша сертификаттарға қосылған "OCSP Must Staple" кеңейтімі бар, ол браузерлерге OCSP серверлерімен тікелей байланысудың орнына OCSP Stapling техникасын пайдалануды нұсқайды және егер торапқа қызмет көрсететін сервер болмаса, сертификат сенімсіз деп есептелуін талап етеді. сертификатталған OCSP жауабын қайтарыңыз. Өкінішке орай, «Must Staple» кеңейтімі браузерлерде кеңінен қолданылмайды және OCSP Stapling технологиясы HTTP сервер жағында қолдауды нақты қосу қажеттілігіне байланысты (2013 жылдан бастап nginx-те қолдау көрсетіледі).
CRL пайдаланған кезде сертификаттың күшін жоюды тексеру сертификаттау орталығы жасаған тізімдер арқылы жергілікті жүйеде орындалады. Бұл тәсілдің кемшіліктері жүктеп алынған деректердің өте үлкен өлшемі және ақпараттың өзектілігінде уақыт аралығының пайда болуы (мысалы, Firefox-та деректер 6 сағат сайын бір рет жаңартылады). Өлшемге қатысты мәселе браузерлерде браузер өндірушілерінің серверлеріндегі CRL прокси арқылы шешіледі - браузерлер жұмыс кезінде ағымдағы тізіммен мерзімді түрде синхрондалатын негізгі CRL қамтиды (тек өзгертілген деректер клиенттің жүйесіне беріледі). CRL дерекқорының өлшемін азайту үшін клиент жағында толық CRL дерекқорын өте ықшам көріністе сақтауға мүмкіндік беретін ықтималдық Bloom сүзгі құрылымы пайдаланылады. Firefox-та ұқсас әдіс CRLite құралдар жинағын, ал Chrome-да CRLSets көмегімен жүзеге асырылады.
Ақпарат көзі: opennet.ru
