Certifikační autorita Let's Encrypt už delší dobu hovoří o tom, že chce ukončit podporu protokolu OCSP pro ověřování platnosti jednotlivých certifikátů. Původně bylo v plánu podporu ukončit v průběhu letošního podzimu, nejpozději na konci roku. Nakonec se vše protáhlo a teprve teď je k dispozici konkrétní harmonogram.
- 30. ledna 2025
- požadavky na OCSP Must-Staple selžou
- výjimku bude mít obnovení certifikátů, které byly už dříve vydány s rozšířením OCSP Must Staple
- 7. května 2025
- před tímto datem budou do certifikátů přidávána URL pro CRL
- od tohoto data už nebudou do certifikátů přidávány URL pro OCSP
- od tohoto data selžou všechny požadavky na certifikáty s rozšířením OCSP Must Staple
- 6. srpna 2025
- v tento den budou vypnuty servery pro OCSP
Protokoly OCSP a CRL jsou mechanismy, kterými mohou certifikační autority sdělovat informace o odvolání certifikátů. Let's Encrypt poskytuje server pro OCSP od svého startu před téměř deseti lety. V roce 2022 byla dodatečně přidána také podpora pro CRL.
Certifikační autorita plánuje podporu protokolu OCSP ukončit především proto, že představuje značné riziko pro soukromí na internetu. Když někdo navštíví webovou stránku pomocí prohlížeče nebo jiného softwaru, který kontroluje odvolání certifikátu prostřednictvím protokolu OCSP, certifikační autorita (CA) provozující odpovídač OCSP se okamžitě dozví, která webová stránka je navštívena z konkrétní IP adresy návštěvníka. I když Let's Encrypt tvrdí, že tyto informace záměrně neuchovává, může být k jejich shromažďování zákonem donucena. CRL tímto problémem netrpí, protože si uživatelé stahují celé seznamy a neptají se na konkrétní domény.