Let’s Encrypt kündigt das Ende des OCSP-Dienstes an

 (letsencrypt.org)
5 Punkte von GN⁺ 2024-07-24 | 2 Kommentare | Auf WhatsApp teilen
  • Let’s Encrypt plant, die Unterstützung für OCSP (Online Certificate Status Protocol) so schnell wie möglich einzustellen und auf Certificate Revocation Lists (CRLs) umzusteigen
  • OCSP und CRLs sind beide Mechanismen zur Übermittlung von Informationen über Zertifikatswiderrufe, aber CRLs bieten gegenüber OCSP viele Vorteile
  • Let’s Encrypt stellt seit dem Start vor 10 Jahren einen OCSP-Responder bereit und hat 2022 Unterstützung für CRLs hinzugefügt
  • Websites und Besucher sind von dieser Änderung nicht betroffen, einige Nicht-Browser-Software könnte jedoch betroffen sein

Gründe für das Ende der OCSP-Unterstützung

  • OCSP stellt ein erhebliches Risiko für die Privatsphäre im Internet dar
  • Wenn über OCSP der Widerrufsstatus eines Zertifikats geprüft wird, kann die Zertifizierungsstelle (CA) sofort erkennen, welche Website von der jeweiligen IP-Adresse des Besuchers aufgerufen wurde
  • Let’s Encrypt speichert diese Informationen absichtlich nicht, könnte aber rechtlich zur Erhebung gezwungen werden
  • CRLs haben dieses Problem nicht

Vereinfachung der CA-Infrastruktur

  • Es ist wichtig, die CA-Infrastruktur von Let’s Encrypt so einfach wie möglich zu halten
  • Der Betrieb des OCSP-Dienstes verbraucht viele Ressourcen, und da nun CRLs unterstützt werden, ist der OCSP-Dienst nicht mehr erforderlich

Entscheidung des CA/Browser Forum

  • Im August 2023 verabschiedete das CA/Browser Forum eine Entscheidung, die es öffentlich vertrauenswürdigen CAs erlaubt, OCSP-Dienste optional bereitzustellen
  • Mit Ausnahme von Microsoft verlangen die meisten Root-Programme OCSP nicht mehr
  • Sobald auch das Microsoft Root Program OCSP optional macht, plant Let’s Encrypt, einen konkreten und zügigen Zeitplan für die Einstellung des OCSP-Dienstes bekanntzugeben

Empfehlung: Abhängigkeit vom OCSP-Dienst beenden

  • Wer derzeit auf den OCSP-Dienst angewiesen ist, sollte so schnell wie möglich damit beginnen, diese Abhängigkeit zu beenden
  • Wenn Let’s-Encrypt-Zertifikate verwendet werden, um Nicht-Browser-Kommunikation wie etwa VPNs zu schützen, sollte geprüft werden, ob die Software auch dann korrekt funktioniert, wenn im Zertifikat keine OCSP-URL enthalten ist
  • Die meisten OCSP-Implementierungen arbeiten nach dem Prinzip "fail open", sodass das System nicht ausfällt, wenn keine OCSP-Antwort abgerufen werden kann

Zusammenfassung von GN⁺

  • Es wird erklärt, warum Let’s Encrypt die OCSP-Unterstützung beendet und auf CRLs umstellt und warum das wichtig ist
  • Es wird hervorgehoben, dass OCSP Datenschutzprobleme verursachen kann und wie CRLs diese lösen können
  • Die Notwendigkeit der Vereinfachung der CA-Infrastruktur und der Einsparung von Ressourcen wird erwähnt
  • Auf die Entscheidung des CA/Browser Forum und die Erwartungen hinsichtlich der künftigen Pläne von Microsoft wird hingewiesen
  • Nutzern, die auf den OCSP-Dienst angewiesen sind, werden Empfehlungen gegeben

Verwandte Beiträge

2 Kommentare

 
mintdevelopers 2024-07-24

Bei CRLs gibt es Probleme mit der Aktualisierungs-/Synchronisierungsgeschwindigkeit, und mit zunehmender Größe kann auch die Suchgeschwindigkeit an Grenzen stoßen. Ich frage mich, wie dieses Problem gelöst werden soll. Außerdem ist zu erwarten, dass die Menge der von Let’s Encrypt verwalteten Zertifikate im Vergleich zu anderen Zertifikatsanbietern enorm groß ist.
 
GN⁺ 2024-07-24
Hacker-News-Kommentare

  • Nach der Erstellung von OCSP Watch wurde beim Auffinden von Zertifikaten in CT-Logs oft festgestellt, dass die CA vergessen hatte, dass sie das Zertifikat ausgestellt hat

    • Das lässt sich nicht erkennen, weil CRLs nicht den Status aller ausgestellten Zertifikate liefern
    • Es wäre gut, wenn die Root-Programme die Anforderung entfernen würden, eine OCSP-URL in Zertifikate aufzunehmen, und stattdessen die Veröffentlichung der OCSP-URLs aller Aussteller in der CCADB verlangen würden

  • Es wäre gut, die Must-Staple-Einschränkung grundsätzlich zu allen Zertifikaten hinzuzufügen

    • Das würde das Datenschutzproblem lösen und eine breite Unterstützung auch außerhalb von Browsern ermöglichen

  • letsencrypt ist die gemeinschaftsorientierte Internet-Infrastruktur, die wir uns vor 20 Jahren vorgestellt haben

    • Ich liebe letsencrypt

  • Wenn das Microsoft Root Program OCSP optional macht, plant letsencrypt, den OCSP-Dienst einzustellen

    • Es wird erwartet, dass Microsoft diese Änderung innerhalb von 6 bis 12 Monaten umsetzt
    • Um Updates zu verfolgen, sollte man die Kategorie API Announcements auf Discourse abonnieren

  • Zertifikatsmanagement ist ein interessantes Problem an der Schnittstelle zwischen menschlichem Verhalten und Informatik

    • Theoretisch ist es einfach, in der Praxis wird es jedoch sehr komplex

  • Ich frage mich, wie es mit der CRL-Unterstützung auf Webservern aussieht

    • NGINX und Apache unterstützen nur OCSP-Stapling

  • Ich frage mich, ob jemand einfach erklären kann, was das für Nutzer von LetsEncrypt bedeutet

    • Ich frage mich, ob Änderungen nötig sind, wenn man einen Server wie Nginx oder Caddy verwendet

  • Ich frage mich, wie man die Sperrung eines Zertifikats prüfen kann, wenn man weder Chrome noch Firefox verwendet

    • Das macht das Web weniger offen

  • Ich frage mich, ob es kostenlose oder günstige Zertifikatsanbieter gibt, die ACME, DNS-01-Challenges und OCSP unterstützen

    • Ich frage mich, ob es außer ZeroSSL noch andere Anbieter gibt

  • CRLs skalieren nicht und brauchen lange für Updates

    • Ich frage mich, warum es kein standardisiertes Binärformat gibt, um das Problem zu lösen, dass CRLs auf Gigabyte-Größe anwachsen
    • Mit Cuckoo-Filtern oder ähnlichen Datenstrukturen könnte man häufig den neuesten Binär-Blob abrufen