Let's Encrypt oznámil záměr co nejdříve ukončit podporu protokolu OCSP (Online Certificate Status Protocol) ve prospěch seznamů odvolaných certifikátů (CRL). Protokol OCSP i seznamy CRL jsou mechanismy, kterými mohou certifikační autority zveřejňovat informace o odvolání certifikátů. Podrobnosti najdete v našem článku Revokace certifikátů je rozbitá. Opravit ji mají redukované CRL.
Certifikační autorita plánuje podporu protokolu OCSP ukončit především proto, že představuje značné riziko pro soukromí na internetu. Když někdo navštíví webovou stránku pomocí prohlížeče nebo jiného softwaru, který kontroluje odvolání certifikátu prostřednictvím protokolu OCSP, certifikační autorita (CA) provozující odpovídač OCSP se okamžitě dozví, která webová stránka je navštívena z konkrétní IP adresy návštěvníka,
vysvětluje hlavní problém Josh Aas z projektu Let's Encrypt. I když certifikační autorita tyto informace záměrně neuchovává, jako je tomu v případě služby Let's Encrypt, může být k jejich shromažďování zákonem donucena. Revokační seznamy CRL tímto problémem netrpí.
Provozovatelé certifikační autority doufají, že poslední odpověď OCSP doručí tři až šest měsíců po aktuálním oznámení. Doporučujeme všem, kteří se dnes spoléhají na služby OCSP, aby co nejdříve zahájili proces ukončení této závislosti.
Většina implementací OCSP běží v režimu „fail open“, což znamená, že nemožnost načíst odpověď OCSP nezpůsobí rozbití komunikace.
ČLÁNKY DO MAILU