- A Let’s Encrypt planeja encerrar o suporte a OCSP (Online Certificate Status Protocol) o mais rápido possível e migrar para Certificate Revocation Lists (CRLs)
- OCSP e CRLs são ambos mecanismos para transmitir informações de revogação de certificados, mas as CRLs têm muitas vantagens em relação ao OCSP
- A Let’s Encrypt fornece um responder OCSP desde o lançamento, há 10 anos, e adicionou suporte a CRLs em 2022
- Sites e visitantes não serão afetados por essa mudança, mas alguns softwares fora do navegador podem ser impactados
Motivos para encerrar o suporte a OCSP
- O OCSP representa um risco significativo para a privacidade na internet
- Ao verificar o status de revogação de um certificado via OCSP, a autoridade certificadora (CA) pode saber imediatamente qual site foi visitado a partir de um determinado endereço IP do visitante
- A Let’s Encrypt não armazena intencionalmente essas informações, mas pode ser legalmente obrigada a coletá-las
- As CRLs não têm esse problema
Simplificação da infraestrutura da CA
- É importante manter a infraestrutura de CA da Let’s Encrypt o mais simples possível
- Operar o serviço OCSP consome muitos recursos e, agora que há suporte a CRLs, o serviço OCSP se tornou desnecessário
Decisão do CA/Browser Forum
- Em agosto de 2023, o CA/Browser Forum aprovou uma decisão que permite que CAs publicamente confiáveis ofereçam o serviço OCSP de forma opcional
- Com exceção da Microsoft, a maioria dos programas de raiz já não exige mais OCSP
- Se o Microsoft Root Program também tornar o OCSP opcional, a Let’s Encrypt planeja anunciar um cronograma concreto e rápido para encerrar o serviço OCSP
Recomendação para encerrar a dependência do serviço OCSP
- Quem atualmente depende do serviço OCSP deve começar o quanto antes o processo para eliminar essa dependência
- Se você usa certificados da Let’s Encrypt para proteger comunicações fora do navegador, como VPN, deve verificar se o software funciona corretamente mesmo sem a URL de OCSP incluída no certificado
- A maioria das implementações de OCSP opera em modo "fail open", de modo que o sistema não para de funcionar caso não consiga obter uma resposta OCSP
Resumo do GN⁺
- Explica por que a Let’s Encrypt está encerrando o suporte a OCSP e migrando para CRLs, e por que isso é importante
- Destaca que o OCSP pode causar problemas de privacidade e como as CRLs podem resolver isso
- Menciona a necessidade de simplificar a infraestrutura de CA e economizar recursos
- Aponta a decisão do CA/Browser Forum e a expectativa em relação aos planos futuros da Microsoft
- Oferece orientações aos usuários que dependem do serviço OCSP
2 comentários
As CRLs têm questões de velocidade de renovação/sincronização e, à medida que aumentam de tamanho, também podem surgir limitações na velocidade de consulta. Fico curioso para saber como isso será resolvido. Também imagino que a quantidade de certificados gerenciados pela Let’s Encrypt seja enorme em comparação com outros provedores de certificados.
Comentários no Hacker News
Depois de criar o OCSP Watch, frequentemente encontrei casos em que, ao localizar certificados nos logs de CT, a CA aparentemente havia se esquecido de que tinha emitido o certificado
É melhor adicionar incondicionalmente a restrição Must Staple a todos os certificados
O letsencrypt é a infraestrutura de internet orientada à comunidade que imaginávamos há 20 anos
Se o Microsoft Root Program tornar o OCSP opcional, o letsencrypt planeja encerrar o serviço de OCSP
O gerenciamento de certificados é um problema interessante na interseção entre comportamento humano e ciência da computação
Fico curioso sobre como está o suporte a CRL em servidores web
Gostaria de uma explicação simples do que isso significa para quem usa LetsEncrypt
Fico curioso sobre como verificar a revogação de certificados se você não usa Chrome ou Firefox
Fico curioso se existe algum provedor de certificados gratuito ou barato que ofereça suporte a ACME, desafio DNS-01 e OCSP
A CRL não escala bem e leva muito tempo para ser atualizada