Vlákno názorů k článku
Let’s Encrypt chce do půl roku ukončit podporu protokolu OCSP od Vít Šesták - Neřeší ten problém se soukromím OCSP stapling?

Neřeší ten problém se soukromím OCSP stapling?

Neresi, precti si to jeste jednou ... "může být k jejich shromažďování zákonem donucena"

Coz je nejspis presne to, proc to delaji.

Jinak samo kazdy svepravny uzivatel ma tuto vopicarnu v browseru vypnutou. Bohuzel nelze (jak jinak nez v ramci "klidu a bezpeci") rict, ze u toho ci onoho konkretniho certifikatu to chces.

CRL ma ten problem, ze to byvaji kilometrove a navic neaktualni seznamy.

Jak zákon donutí CA logovat informace, které CA nemá k dispozici? Při OCSP staplingu CA vidí IP adresu serveru, ne klienta.

Úplně stejně jako když se nařídí logování e2e šifrované komunikace - firmy prostě protokoly neumožňující logování nebudou moct používat. S tím staplingem je to stejné, prostě se ustanoví povinnost logovat a jak si s tím firma poradí je její problém

Řeší, ale z pohledu prohlížeče to s OCSP nemá prakticky nic společného, prohlížeč v takovém případě OCSP nepoužívá. Ale je pravda, že na straně serveru se pro OCSP stapling používá protokol OCSP (a nejde to nahradit CRL listy – snad jedině kdyby se vydávaly po jednom), takže to se zrušením podpory OCSP odřízne také. Je zvláštní, že to ten dokument neřeší.

V porovnání OCSP stapling a CRL mi připadá rozumnější CRL. V obou případech je tam určitá prodleva mezi revokací certifikátu na straně CA a okamžikem, kdy ho začne za revokovaný považovat prohlížeč. Ale v případě CRL si prohlížeč stáhne seznam revokovaných certifikátů a je hotovo, zatímco u OCSP staplingu musí pořád dokola při každém navázání TLS spojení opakovat „tento certifikát nebyl revokován“.