Let's Encrypt, OCSP hizmetini sonlandıracağını duyurdu

 (letsencrypt.org)
5 puan yazan GN⁺ 2024-07-24 | 2 yorum | WhatsApp'ta paylaş
  • Let’s Encrypt, mümkün olan en kısa sürede OCSP (Online Certificate Status Protocol) desteğini sonlandırıp Certificate Revocation Lists (CRLs) kullanımına geçmeyi planlıyor
  • OCSP ve CRLs, sertifika iptal bilgilerini ileten mekanizmalar olsa da CRLs, OCSP'ye göre birçok avantaja sahip
  • Let’s Encrypt, 10 yıl önceki lansmanından bu yana OCSP responder hizmeti sunuyordu ve 2022'de CRLs desteğini ekledi
  • Bu değişiklik web sitelerini ve ziyaretçileri etkilemeyecek, ancak bazı tarayıcı dışı yazılımlar etkilenebilir

OCSP desteğinin sonlandırılma nedeni

  • OCSP, internet gizliliği açısından önemli bir risk oluşturuyor
  • OCSP üzerinden sertifika iptal durumu kontrol edildiğinde, sertifika otoritesi (CA) ziyaretçinin belirli IP adresinden hangi web sitesini ziyaret ettiğini anında öğrenebilir
  • Let’s Encrypt bu bilgileri kasıtlı olarak saklamıyor, ancak yasal olarak toplamaya zorlanabilir
  • CRLs'de bu sorun yok

CA altyapısının sadeleştirilmesi

  • Let’s Encrypt'in CA altyapısını mümkün olduğunca sade tutmak önemli
  • OCSP hizmetini işletmek çok fazla kaynak tüketiyor ve artık CRLs desteklendiği için OCSP hizmeti gereksiz hale geliyor

CA/Browser Forum kararı

  • Ağustos 2023'te CA/Browser Forum, kamuya açık olarak güvenilen CA'ların OCSP hizmetini isteğe bağlı sunabilmesine izin veren bir kararı kabul etti
  • Microsoft hariç çoğu root programı artık OCSP'yi zorunlu tutmuyor
  • Microsoft Root Program da OCSP'yi isteğe bağlı hale getirirse, Let’s Encrypt OCSP hizmetini sonlandırmak için somut ve hızlı bir takvim açıklamayı planlıyor

OCSP hizmeti bağımlılığının sonlandırılması önerisi

  • Hâlen OCSP hizmetine bağımlı olanların bu bağımlılığı mümkün olan en kısa sürede sonlandırma sürecine başlaması gerekiyor
  • Let’s Encrypt sertifikalarını kullanarak VPN gibi tarayıcı dışı iletişimi koruyorsanız, sertifikada OCSP URL'si bulunmasa bile yazılımın doğru çalıştığını doğrulamalısınız
  • Çoğu OCSP uygulaması "fail open" şeklinde çalışır; bu nedenle OCSP yanıtı alınamazsa sistem durmaz

GN⁺ özeti

  • Let’s Encrypt'in neden OCSP desteğini sonlandırıp CRLs kullanımına geçtiğini ve bunun neden önemli olduğunu açıklıyor
  • OCSP'nin gizlilik sorunları yaratabileceğini ve CRLs'nin bunu nasıl çözebileceğini vurguluyor
  • CA altyapısını sadeleştirme ve kaynak tasarrufu ihtiyacına değiniyor
  • CA/Browser Forum kararına ve Microsoft'un gelecekteki planlarına dair beklentiye işaret ediyor
  • OCSP hizmetine bağımlı kullanıcılara öneriler sunuyor

İlgili okumalar

2 yorum

 
mintdevelopers 2024-07-24

CRL'lerde yenileme/senkronizasyon hızı sorunları var ve boyut büyüdükçe arama hızında da sınırlamalar ortaya çıkabiliyor; bu sorunu nasıl çözeceklerini merak ediyorum. Ayrıca diğer sertifika sağlayıcılarına kıyasla Let’s Encrypt'in yönettiği sertifika miktarının çok daha fazla olacağı da tahmin ediliyor.
 
GN⁺ 2024-07-24
Hacker News görüşleri

  • OCSP Watch'ı yaptıktan sonra, CT günlüklerinde sertifikaları ararken CA'nın sertifikayı verdiğini unuttuğu durumların sık sık ortaya çıktığı görüldü

    • CRL, verilen tüm sertifikaların durumunu sağlamadığı için bu tespit edilemiyor
    • Kök programlarının sertifikalara OCSP URL'si ekleme zorunluluğunu kaldırıp, tüm issuer'ların OCSP URL'lerini CCADB'de yayımlamasını isterdim

  • Tüm sertifikalara koşulsuz olarak Must Staple kısıtlaması eklemek iyi olurdu

    • Bu, gizlilik sorununu çözer ve tarayıcı dışındaki daha geniş desteğe izin verir

  • letsencrypt, 20 yıl önce hayal ettiğimiz topluluk odaklı internet altyapısıdır

    • letsencrypt'i seviyorum

  • Microsoft Root Program, OCSP'yi isteğe bağlı hale getirirse letsencrypt, OCSP hizmetini sonlandırmayı planlıyor

    • Microsoft'un bu değişikliği 6-12 ay içinde uygulaması bekleniyor
    • Güncellemeleri takip etmek için Discourse'taki API Announcements kategorisine abone olmak iyi olur

  • Sertifika yönetimi, insan davranışı ile bilgisayar biliminin kesişiminde yer alan ilginç bir problem

    • Teoride basit, ama pratikte çok karmaşık hale geliyor

  • Web sunucularında CRL desteğinin durumu merak ediliyor

    • NGINX ve Apache yalnızca OCSP stapling'i destekliyor

  • Bunun LetsEncrypt kullananlar için ne anlama geldiğini basitçe açıklayabilecek biri olup olmadığı merak ediliyor

    • Nginx veya Caddy gibi sunucular kullanılıyorsa değişiklik gerekip gerekmediği merak ediliyor

  • Chrome veya Firefox kullanılmıyorsa sertifika iptalinin nasıl kontrol edilebileceği merak ediliyor

    • Bu, web'i daha az açık hale getiriyor

  • ACME, DNS-01 challenge ve OCSP'yi destekleyen ücretsiz veya düşük maliyetli sertifika sağlayıcıları olup olmadığı merak ediliyor

    • ZeroSSL dışında başka sağlayıcılar olup olmadığı merak ediliyor

  • CRL ölçeklenemiyor ve güncellenmesi uzun sürüyor

    • CRL'lerin gigabayt boyutuna ulaşması sorununu çözmek için neden standart bir ikili biçim olmadığı merak ediliyor
    • Cuckoo filter veya benzer veri yapıları kullanılarak güncel ikili blob sık sık alınabilir