- 14,385
- 20
- 8 Ноя 2022
Удостоверяющий центр делает ставку на безопасность пользователей.
Let’s Encrypt Для просмотра ссылки Войдиили Зарегистрируйся о прекращении поддержки протокола OCSP (Online Certificate Status Protocol) и полном переходе на списки отозванных сертификатов Для просмотра ссылки Войди или Зарегистрируйся Новый подход обеспечит более высокую конфиденциальность и упростит инфраструктуру удостоверяющего центра.
Ключевые изменения начнутся 30 января 2025 года. С этой даты запросы на выпуск сертификатов с расширением OCSP Must Staple будут отклоняться, если учетная запись ранее не использовала сертификаты с таким расширением. До 7 мая ссылки на CRL появятся во всех сертификатах, а поддержка OCSP будет исключена. С 7 мая любые запросы с OCSP Must Staple перестанут обрабатываться, включая продления сертификатов. Полное отключение OCSP-ответчиков запланировано на 6 августа.
В Let’s Encrypt отметили, что CRL обладает значительными преимуществами перед OCSP. Использование CRL исключает сбор данных о посещаемых сайтах и IP-адресах пользователей, что делает CRL более конфиденциальным решением. OCSP, напротив, создает риск утечки данных даже в тех случаях, когда удостоверяющий центр намеренно не сохраняет информацию, так как данные могут запросить на основании правовых норм.
С момента своего основания Let’s Encrypt использовала OCSP, но его поддержка требовала значительных ресурсов. В 2022 году организация добавила поддержку CRL, что позволило отказаться от устаревшего протокола. CRL уже широко поддерживается браузерами, не требует сложной настройки серверов и обеспечивает высокую приватность.
Также прекращается поддержка расширения OCSP Must Staple, которая улучшала приватность и безопасность, но не получила достаточного распространения в браузерах. Кроме того, использование OCSP Must Staple на серверах связано с рисками простоев.
В связи с предстоящими изменениями пользователям рекомендовано заранее убедиться, что программное обеспечение корректно функционирует без поддержки OCSP. Особенно это важно для владельцев VPN и других не браузерных систем, использующих сертификаты Let’s Encrypt. Для проверки использования OCSP Must Staple предоставлен архив со списком сертификатов.
Let’s Encrypt Для просмотра ссылки Войди
Ключевые изменения начнутся 30 января 2025 года. С этой даты запросы на выпуск сертификатов с расширением OCSP Must Staple будут отклоняться, если учетная запись ранее не использовала сертификаты с таким расширением. До 7 мая ссылки на CRL появятся во всех сертификатах, а поддержка OCSP будет исключена. С 7 мая любые запросы с OCSP Must Staple перестанут обрабатываться, включая продления сертификатов. Полное отключение OCSP-ответчиков запланировано на 6 августа.
В Let’s Encrypt отметили, что CRL обладает значительными преимуществами перед OCSP. Использование CRL исключает сбор данных о посещаемых сайтах и IP-адресах пользователей, что делает CRL более конфиденциальным решением. OCSP, напротив, создает риск утечки данных даже в тех случаях, когда удостоверяющий центр намеренно не сохраняет информацию, так как данные могут запросить на основании правовых норм.
С момента своего основания Let’s Encrypt использовала OCSP, но его поддержка требовала значительных ресурсов. В 2022 году организация добавила поддержку CRL, что позволило отказаться от устаревшего протокола. CRL уже широко поддерживается браузерами, не требует сложной настройки серверов и обеспечивает высокую приватность.
Также прекращается поддержка расширения OCSP Must Staple, которая улучшала приватность и безопасность, но не получила достаточного распространения в браузерах. Кроме того, использование OCSP Must Staple на серверах связано с рисками простоев.
В связи с предстоящими изменениями пользователям рекомендовано заранее убедиться, что программное обеспечение корректно функционирует без поддержки OCSP. Особенно это важно для владельцев VPN и других не браузерных систем, использующих сертификаты Let’s Encrypt. Для проверки использования OCSP Must Staple предоставлен архив со списком сертификатов.
- Источник новости
- www.securitylab.ru
