Let's Encrypt, awtorità taċ-ċertifikati mingħajr skop ta' qligħ li hija kkontrollata mill-komunità u li tipprovdi ċertifikati mingħajr ħlas lil kulħadd, iddeċidiet li tieqaf tappoġġja l-protokoll OCSP (Online Certificate Status Protocol) użat biex jiċċekkja r-revoka taċ-ċertifikati. Minflok il-protokoll OCSP, huwa propost li jintużaw listi ta' revoka ta' ċertifikati (CRL - Lista ta' Revoka ta' Ċertifikati), ippubblikati mis-servizz Let's Encrypt li jibda fl-2022. Fis-7 ta' Mejju, 2025, Let's Encrypt se tiddiżattiva ż-żieda ta' referenzi ta' indirizzi OCSP maċ-ċertifikati maħruġa u se twaqqaf l-ipproċessar ta' talbiet li jinvolvu l-użu tal-estensjoni "OCSP Must Staple". Fis-6 ta' Awwissu, 2025, il-persuni li jieħdu ħsieb it-talbiet OCSP se jkunu diżattivati fuq is-servers.
Tħassib dwar il-privatezza huwa kkwotat bħala r-raġuni għaliex l-appoġġ tal-OCSP mhux qed jiġi aċċettat. L-użu tal-OCSP jirrikjedi li, kull darba li tiġi stabbilita konnessjoni sigura biex tiġi vverifikata l-validità ta' ċertifikat, is-sistema tal-klijent tibgħat talba lis-server OCSP tas-CA li ġġenerat iċ-ċertifikat. Bi tweġiba, is-server jipprovdi informazzjoni dwar jekk iċ-ċertifikat speċifikat jistax jiġi fdat. Il-problema hija li s-CA tirċievi informazzjoni dwar meta u liema websajts iżur l-utent, abbażi tal-informazzjoni tagħhom. indirizz IP, li jista' jitqies bħala tnixxija ta' dejta kunfidenzjali. Barra minn hekk, l-użu tal-OCSP jintroduċi dewmien fl-ipproċessar tat-talbiet, jirrikjedi li l-utent ikollu aċċess garantit għan-netwerk, u joħloq dipendenza fuq it-tħaddim mingħajr interruzzjoni tas-servers tal-OCSP.
Biex jiġu indirizzati t-tħassib dwar il-privatezza meta jiġu ċċekkjati r-revoki taċ-ċertifikati, ġiet żviluppata t-teknoloġija OCSP Stapling. L-idea hi li t-tweġibiet OCSP verifikati minn awtorità ta' ċertifikazzjoni jistgħu jiġu trażmessi minn servers li jservu websajts waqt in-negozjar ta' konnessjoni TLS ma' klijent (it-trażmissjoni ta' informazzjoni OCSP tiġi trasferita lil servers siti, li jelimina l-ħtieġa li s-sistema tal-klijent tikkuntattja direttament lis-server OCSP tal-awtorità taċ-ċertifikazzjoni, filwaqt li l-korrettezza tat-tweġibiet hija żgurata mill-firma diġitali tal-awtorità taċ-ċertifikazzjoni).
Minbarra l-OCSP Stapling, hemm estensjoni "OCSP Must Staple" miżjuda maċ-ċertifikati, li tagħti struzzjonijiet lill-browsers biex jużaw it-teknika tal-OCSP Stapling minflok jikkuntattjaw direttament is-servers tal-OCSP u jeħtieġ li ċ-ċertifikat jitqies mhux affidabbli jekk is-server li jservi s-sit ma jagħmilx kuntatt ma' servers OCSP. jirritorna rispons OCSP iċċertifikat. Sfortunatament, l-estensjoni "Must Staple" mhix użata ħafna fil-browsers, u t-teknoloġija OCSP Stapling hija marbuta mal-ħtieġa li l-appoġġ espliċitament jiġi attivat fuq in-naħa tas-server HTTP (appoġġjat f'nginx mill-2013).
Meta tuża CRL, il-verifika tar-revoka taċ-ċertifikat titwettaq fuq is-sistema lokali bl-użu ta' listi ġġenerati mill-awtorità taċ-ċertifikazzjoni. L-iżvantaġġi ta 'dan l-approċċ huma d-daqs kbir ħafna tad-dejta mniżżla u d-dehra ta' vojt ta 'żmien fir-rilevanza tal-informazzjoni (pereżempju, f'Firefox, id-dejta tiġi aġġornata darba kull 6 sigħat). Il-problema bid-daqs tissolva fil-browsers permezz ta 'proxying CRL fuq is-servers tal-manifatturi tal-browser - il-browsers jinkludu CRL bażiku, li waqt it-tħaddim huwa perjodikament sinkronizzat mal-lista attwali (id-dejta mibdula biss tiġi trasferita għas-sistema tal-klijent). Biex tnaqqas id-daqs tad-database tas-CRL, tintuża struttura probabilistika tal-filtru Bloom, li tippermetti l-ħażna tad-database CRL kompluta fuq in-naħa tal-klijent f'rappreżentazzjoni kompatta ħafna. Fil-Firefox, teknika simili hija implimentata bl-użu tal-għodda CRLite, u fil-Chrome, CRLSets.
Sors: opennet.ru
