Let's Encrypt încheie suportul pentru protocolul OCSP pentru verificarea certificatelor revocate

Let's Encrypt, o autoritate de certificare non-profit care este controlată de comunitate și oferă certificate gratuit tuturor, a decis să nu mai accepte protocolul OCSP (Online Certificate Status Protocol) utilizat pentru a verifica revocarea certificatelor. În locul protocolului OCSP, se propune utilizarea listelor de revocare a certificatelor (CRL - Certificate Revocation List), publicate de serviciul Let's Encrypt începând cu 2022. Pe 7 mai 2025, Let's Encrypt va dezactiva adăugarea referințelor de adrese OCSP la certificatele emise și va opri procesarea cererilor care implică utilizarea extensiei „OCSP Must Staple”. Pe 6 august 2025, gestionatorii de cereri OCSP vor fi dezactivați pe servere.

Preocupările legate de confidențialitate sunt invocate ca motiv pentru deprecierea suportului OCSP. Utilizarea OCSP necesită ca, de fiecare dată când se stabilește o conexiune securizată pentru a verifica validitatea unui certificat, sistemul client să trimită o solicitare către serverul OCSP al CA-ului care a generat certificatul. Ca răspuns, serverul furnizează informații despre dacă certificatul specificat poate fi considerat de încredere. Problema este că CA primește informații despre când și ce site-uri web vizitează utilizatorul, pe baza... adresa IP, ceea ce ar putea fi considerat o scurgere de date confidențiale. În plus, utilizarea OCSP introduce o întârziere în procesarea cererilor, necesită ca utilizatorul să aibă acces garantat la rețea și creează o dependență de funcționarea neîntreruptă a serverelor OCSP.

Pentru a aborda preocupările legate de confidențialitate la verificarea revocărilor certificatelor, a fost dezvoltată tehnologia OCSP Stapling. Ideea este că răspunsurile OCSP verificate de o autoritate de certificare pot fi transmise de serverele care deservesc site-uri web în timpul negocierii unei conexiuni TLS cu un client (transmiterea informațiilor OCSP este transferată către servere site-uri, ceea ce elimină necesitatea ca sistemul client să contacteze direct serverul OCSP al autorității de certificare, în timp ce corectitudinea răspunsurilor este asigurată de semnătura digitală a autorității de certificare).

În plus față de OCSP Stapling, există o extensie „OCSP Must Staple” adăugată la certificate, care instruiește browserele să utilizeze tehnica OCSP Stapling în loc să contacteze direct serverele OCSP și cere ca certificatul să fie considerat nedemn de încredere dacă serverul care servește site-ul nu returnează un răspuns certificat OCSP. Din păcate, extensia „Must Staple” nu este utilizată pe scară largă în browsere, iar tehnologia de capsare OCSP este legată de necesitatea de a activa în mod explicit suportul pe partea serverului HTTP (acceptat în nginx din 2013).

Când se utilizează CRL, verificarea revocării certificatelor este efectuată pe sistemul local folosind liste generate de autoritatea de certificare. Dezavantajele acestei abordări sunt dimensiunea foarte mare a datelor descărcate și apariția unui interval de timp în relevanța informațiilor (de exemplu, în Firefox, datele sunt actualizate o dată la 6 ore). Problema cu dimensiunea este rezolvată în browsere prin proxy CRL pe serverele producătorilor de browser - browserele includ un CRL de bază, care în timpul funcționării este sincronizat periodic cu lista curentă (doar datele modificate sunt transferate în sistemul clientului). Pentru a reduce dimensiunea bazei de date CRL, se folosește o structură probabilistică de filtru Bloom, care permite stocarea completă a bazei de date CRL pe partea clientului într-o reprezentare foarte compactă. În Firefox, o tehnică similară este implementată folosind setul de instrumente CRLite, iar în Chrome, CRLSets.

Sursa: opennet.ru

Cumpărați găzduire de încredere pentru site-uri cu protecție DDoS, servere VPS VDS 🔥 Cumpără găzduire web fiabilă cu protecție DDoS, servere VPS VDS | ProHoster