Let’s Encrypt ukončí podporu OCSP postupně do poloviny roku 2025

6. 12. 2024

Sdílet

Let's Encrypt notebook kafe Autor: Depositphotos, ISRG

Certifikační autorita Let's Encrypt už delší dobu hovoří o tom, že chce ukončit podporu protokolu OCSP pro ověřování platnosti jednotlivých certifikátů. Původně bylo v plánu podporu ukončit v průběhu letošního podzimu, nejpozději na konci roku. Nakonec se vše protáhlo a teprve teď je k dispozici konkrétní harmonogram.

  • 30. ledna 2025
    • požadavky na OCSP Must-Staple selžou
    • výjimku bude mít obnovení certifikátů, které byly už dříve vydány s rozšířením OCSP Must Staple
  • 7. května 2025
    • před tímto datem budou do certifikátů přidávána URL pro CRL
    • od tohoto data už nebudou do certifikátů přidávány URL pro OCSP
    • od tohoto data selžou všechny požadavky na certifikáty s rozšířením OCSP Must Staple
  • 6. srpna 2025
    • v tento den budou vypnuty servery pro OCSP

Protokoly OCSP a CRL jsou mechanismy, kterými mohou certifikační autority sdělovat informace o odvolání certifikátů. Let's Encrypt poskytuje server pro OCSP od svého startu před téměř deseti lety. V roce 2022 byla dodatečně přidána také podpora pro CRL.

Certifikační autorita plánuje podporu protokolu OCSP ukončit především proto, že představuje značné riziko pro soukromí na internetu. Když někdo navštíví webovou stránku pomocí prohlížeče nebo jiného softwaru, který kontroluje odvolání certifikátu prostřednictvím protokolu OCSP, certifikační autorita (CA) provozující odpovídač OCSP se okamžitě dozví, která webová stránka je navštívena z konkrétní IP adresy návštěvníka. I když Let's Encrypt tvrdí, že tyto informace záměrně neuchovává, může být k jejich shromažďování zákonem donucena. CRL tímto problémem netrpí, protože si uživatelé stahují celé seznamy a neptají se na konkrétní domény.

Našli jste v článku chybu?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.