Let's Encrypt, neprofitni overitelj potrdil, ki ga nadzira skupnost in vsem brezplačno zagotavlja potrdila, se je odločil prenehati podpirati OCSP (Online Certificate Status Protocol), ki se uporablja za preverjanje preklica potrdil. Namesto protokola OCSP je predlagana uporaba seznamov preklicanih potrdil (CRL – Certificate Revocation List), ki jih od leta 2022 objavlja storitev Let's Encrypt. 7. maja 2025 bo Let's Encrypt onemogočil dodajanje referenc naslovov OCSP izdanim potrdilom in prenehal obdelovati zahteve, ki vključujejo uporabo razširitve »OCSP Must Staple«. 6. avgusta 2025 bodo na strežnikih onemogočeni obdelovalci zahtev OCSP.
Kot razlog za opustitev podpore za OCSP so navedeni pomisleki glede zasebnosti. Uporaba OCSP zahteva, da odjemalski sistem vsakič, ko se vzpostavi varna povezava za preverjanje veljavnosti potrdila, pošlje zahtevo strežniku OCSP overitelja potrdil, ki je potrdilo ustvaril. Strežnik v odgovoru posreduje informacije o tem, ali je določenemu potrdilu mogoče zaupati. Težava je v tem, da overitelj potrdil prejme informacije o tem, kdaj in katera spletna mesta uporabnik obišče, na podlagi svojih IP naslov, kar bi lahko šteli za uhajanje zaupnih podatkov. Poleg tega uporaba OCSP povzroča zamudo pri obdelavi zahtev, od uporabnika zahteva zagotovljen dostop do omrežja in ustvarja odvisnost od nemotenega delovanja strežnikov OCSP.
Za reševanje pomislekov glede zasebnosti pri preverjanju preklica potrdil je bila razvita tehnologija spenjanja OCSP. Ideja je, da se lahko odgovore OCSP, ki jih preveri overitelj, prenesejo s strežnikov, ki strežejo spletnim mestom med pogajanji o povezavi TLS s stranko (prenos informacij OCSP se prenese na strežniki spletna mesta, kar odpravlja potrebo po neposrednem stiku odjemalskega sistema s strežnikom OCSP overitelja, medtem ko pravilnost odgovorov zagotavlja digitalni podpis overitelja).
Poleg spenjanja OCSP je potrdilom dodana razširitev »OCSP Must Staple«, ki brskalnikom naroča uporabo tehnike spenjanja OCSP namesto neposrednega stika s strežniki OCSP in zahteva, da se potrdilo šteje za nezanesljivo, če strežnik, ki služi spletnemu mestu, ne vrne certificiran odgovor OCSP. Na žalost se razširitev »Must Staple« v brskalnikih ne uporablja pogosto, tehnologija spenjanja OCSP pa je povezana s potrebo po izrecnem omogočanju podpore na strani strežnika HTTP (podprto v nginxu od leta 2013).
Pri uporabi CRL se preverjanje preklica potrdila izvede v lokalnem sistemu z uporabo seznamov, ki jih ustvari overitelj potrdil. Slabosti tega pristopa so zelo velika velikost prenesenih podatkov in pojav časovne vrzeli v ustreznosti informacij (npr. v Firefoxu se podatki posodabljajo enkrat na 6 ur). Problem z velikostjo je v brskalnikih rešen s CRL proxyjem na strežnikih proizvajalcev brskalnikov - brskalniki vključujejo osnovni CRL, ki se med delovanjem periodično sinhronizira s trenutnim seznamom (samo spremenjeni podatki se prenesejo v sistem odjemalca). Za zmanjšanje velikosti baze podatkov CRL se uporablja verjetnostna struktura Bloomovega filtra, ki omogoča shranjevanje celotne baze podatkov CRL na strani odjemalca v zelo kompaktni predstavitvi. V Firefoxu je podobna tehnika implementirana z uporabo orodja CRLite, v Chromu pa CRLSets.
Vir: opennet.ru
