Прощай, OCSP: Let's Encrypt готовит Интернет к переменам

Некоммерческая организация Let’s Encrypt объявила о намерении прекратить поддержку протокола состояния сетевого сертификата (Online Certificate Status Protocol, OCSP) в пользу технологии списка отозванных сертификатов (Certificate Revocation List, CRL).

OCSP и CRL — это два механизма, с помощью которых удостоверяющие центры (Certification Authority, CA) могут передавать информацию об отзыве сертификатов. Let’s Encrypt предоставляет OCSP с момента своего запуска почти десять лет назад, а поддержку CRL внедрила в 2022 году.

Сама по себе Let’s Encrypt — это некоммерческая организация, предоставляющая бесплатные сертификаты SSL/TLS, которые обеспечивают безопасное соединение между веб-сайтами и их пользователями. Основная цель Let's Encrypt — сделать Интернет более безопасным и доступным, упростив процесс получения и установки сертификатов для владельцев сайтов.

По словам представителей организации, отказ от OCSP не повлияет на сайты и их посетителей, однако некоторые программы, отличные от браузеров, могут столкнуться с определёнными проблемами.

Основная причина отказа от OCSP заключается в том, что этот протокол представляет значительный риск для конфиденциальности в Интернете. Так, когда кто-то посещает сайт с использованием браузера или другого ПО, проверяющего статус сертификата через OCSP, удостоверяющий центр получает информацию о посещаемом сайте и IP-адресе посетителя.

Проблема состоит в том, что даже если Let’s Encrypt не сохраняет эту информацию, другие удостоверяющие центры могут быть вынуждены делать это по требованию закона. В то же время, в случае с CRL такой проблемы просто не возникает. Кроме того, поддержание инфраструктуры OCSP требует значительных ресурсов, которые могли бы быть направлены на другие важные задачи. После внедрения поддержки CRL, сервис OCSP банально стал излишним.

В августе 2023 года консорциум центров сертификации CA/Browser Forum принял решение сделать предоставление OCSP опциональным для публично доверенных удостоверяющих центров, таких как Let’s Encrypt. За исключением Microsoft, корневые программы больше не требуют OCSP. Ожидается, что в ближайшие шесть-двенадцать месяцев Microsoft также сделает OCSP опциональным. Как только это произойдёт, Let’s Encrypt объявит конкретный и быстрый график отключения своих OCSP-сервисов.

Let’s Encrypt рекомендует пользователям, зависящим от OCSP, начать процесс отказа от этого протокола как можно скорее. Тем, кто использует сертификаты Let’s Encrypt для обеспечения безопасности, например, в VPN, необходимо убедиться, что их программное обеспечение работает корректно без использования OCSP. В целом, большинство OCSP-реализаций устроено так, что невозможность получить ответ от OCSP не приведёт к сбою системы.

Let’s Encrypt является частью организации Internet Security Research Group (ISRG), специализирующаяся на улучшении безопасности в Интернете. ISRG была основана для поддержки проектов, направленных на повышение конфиденциальности и защиты данных пользователей. Помимо Let’s Encrypt организация также занимается и другими инициативами, такими как Prossimo и Divvi Up, направленными на повышение безопасности и устойчивости интернет-инфраструктуры.