OCSP в прошлом: Let’s Encrypt улучшает приватность в интернете

Let’s Encrypt официально объявила о прекращении поддержки протокола OCSP (Online Certificate Status Protocol) и полном переходе на списки отозванных сертификатов (Certificate Revocation Lists, CRL). Новый подход обеспечит более высокую конфиденциальность и упростит инфраструктуру удостоверяющего центра.

Ключевые изменения начнутся 30 января 2025 года. С этой даты запросы на выпуск сертификатов с расширением OCSP Must Staple будут отклоняться, если учетная запись ранее не использовала сертификаты с таким расширением. До 7 мая ссылки на CRL появятся во всех сертификатах, а поддержка OCSP будет исключена. С 7 мая любые запросы с OCSP Must Staple перестанут обрабатываться, включая продления сертификатов. Полное отключение OCSP-ответчиков запланировано на 6 августа.

В Let’s Encrypt отметили, что CRL обладает значительными преимуществами перед OCSP. Использование CRL исключает сбор данных о посещаемых сайтах и IP-адресах пользователей, что делает CRL более конфиденциальным решением. OCSP, напротив, создает риск утечки данных даже в тех случаях, когда удостоверяющий центр намеренно не сохраняет информацию, так как данные могут запросить на основании правовых норм.

С момента своего основания Let’s Encrypt использовала OCSP, но его поддержка требовала значительных ресурсов. В 2022 году организация добавила поддержку CRL, что позволило отказаться от устаревшего протокола. CRL уже широко поддерживается браузерами, не требует сложной настройки серверов и обеспечивает высокую приватность.

Также прекращается поддержка расширения OCSP Must Staple, которая улучшала приватность и безопасность, но не получила достаточного распространения в браузерах. Кроме того, использование OCSP Must Staple на серверах связано с рисками простоев.

В связи с предстоящими изменениями пользователям рекомендовано заранее убедиться, что программное обеспечение корректно функционирует без поддержки OCSP. Особенно это важно для владельцев VPN и других не браузерных систем, использующих сертификаты Let’s Encrypt. Для проверки использования OCSP Must Staple предоставлен архив со списком сертификатов.