Názory k článku
Digicertu nefungují OCSP odpovídače, prohlížeče mají problém s navázáním šifrovaného spojení

A fix has been implemented and we are monitoring the results.
Posted 20 minutes ago. Jan 31, 2020 - 16:08 UTC

https://websitesecurity.status.digicert.com/incidents/9087b86rnpvc

Ten uvedeny prikaz jak otestovat nejaky web je spravny? Zkusil jsem to same pro seznam.cz a vysledek je stejny i kdyz pouzivaji LE certifikat.

$ curl https://www.seznam.cz/ --cert-status
curl: (91) No OCSP response received

Máte pravdu, je to chyba. Uvedený příkaz zkoumá pouze OCSP Stapling, neprovádí standardní OCSP kontrolu. Zdá se tedy, že manuální OCSP kontrola jde spustit jen tímto těžkopádným způsobem.

Čekal bych, že prohlížeče provedou "fallback" na CRL, když OCSP nezískají.

Fallback na CRL se dělá docela těžko, znamenalo by to v daný okamžik stáhnout desítky megabajtů dat. Proto se ostatně CRL běžně nekontroluje. Navíc se dá čekat, že CRL a OCSP jedné autority budou hostovány blízko sebe, takže během výpadku nebude dostupný ani jeden z nich.

Znamenalo by to mít CRL stažené dopředu (preventivně) a vyloučit na jeho základě alespoň certifikáty, o kterých je už dlouho známo, že jsou odvolané. Jenže je otázka, co dělat s tím zbytkem – s certifikáty, o kterých nevím, zda byly či nebyly odvolány. Risknout to, že těch odvolaných certifikátů po stažení posledního CRL bude málo? No, to pomalu můžeme risknout, že útoků na weby bude málo a není potřeba použít HTTPS… Zase by pomohlo DANE, protože DNS stejně potřebuju a když už certifikát ověřím z DNS, nejsem závislý na další infrastruktuře. Certifikační autorita může maximálně doplnit další úroveň důvěryhodnosti (OV certifikát), ale to už je informace navíc, a navíc není závislá na jiném online protokolu (odvolání certifikátu vyřeším jeho stažením z DNS, takže prohlížeč nebude potřebovat OCSP validaco).