Let’s Encrypt annonce l’arrêt du service OCSP

 (letsencrypt.org)
5 points par GN⁺ 2024-07-24 | 2 commentaires | Partager sur WhatsApp
  • Let’s Encrypt prévoit de mettre fin à la prise en charge d’OCSP (Online Certificate Status Protocol) dès que possible et de passer aux Certificate Revocation Lists (CRLs)
  • OCSP et les CRLs sont tous deux des mécanismes de diffusion des informations de révocation de certificats, mais les CRLs présentent de nombreux avantages par rapport à OCSP
  • Let’s Encrypt fournit un répondeur OCSP depuis son lancement il y a 10 ans, et a ajouté la prise en charge des CRLs en 2022
  • Ce changement n’affectera ni les sites web ni les visiteurs, mais certains logiciels hors navigateur pourraient être concernés

Pourquoi mettre fin à la prise en charge d’OCSP

  • OCSP représente un risque important pour la confidentialité sur Internet
  • Lors de la vérification de l’état de révocation d’un certificat via OCSP, l’autorité de certification (CA) peut immédiatement savoir quel site web est visité depuis une adresse IP donnée
  • Let’s Encrypt n’enregistre pas volontairement ces informations, mais pourrait être légalement contrainte de les collecter
  • Les CRLs ne présentent pas ce problème

Simplification de l’infrastructure CA

  • Il est important pour Let’s Encrypt de maintenir son infrastructure CA aussi simple que possible
  • L’exploitation du service OCSP consomme beaucoup de ressources et, maintenant que les CRLs sont prises en charge, ce service n’est plus nécessaire

Décision du CA/Browser Forum

  • En août 2023, le CA/Browser Forum a adopté une décision permettant aux CA publiquement approuvées de proposer le service OCSP de manière optionnelle
  • À l’exception de Microsoft, la plupart des root programs n’exigent plus OCSP
  • Si le Microsoft Root Program rend lui aussi OCSP optionnel, Let’s Encrypt prévoit d’annoncer un calendrier concret et rapide pour l’arrêt du service OCSP

Recommandation de mettre fin à la dépendance au service OCSP

  • Les personnes qui dépendent actuellement du service OCSP devraient commencer dès que possible à supprimer cette dépendance
  • Si vous utilisez des certificats Let’s Encrypt pour sécuriser des communications hors navigateur comme un VPN, vous devez vérifier que votre logiciel fonctionne correctement même si le certificat n’inclut pas d’URL OCSP
  • La plupart des implémentations d’OCSP fonctionnent en mode "fail open", de sorte que le système ne tombe pas en panne lorsqu’il est impossible de récupérer une réponse OCSP

Résumé de GN⁺

  • Présente les raisons pour lesquelles Let’s Encrypt met fin à la prise en charge d’OCSP et passe aux CRLs, ainsi que l’importance de ce changement
  • Souligne qu’OCSP peut poser des problèmes de confidentialité et comment les CRLs peuvent y remédier
  • Mentionne la nécessité de simplifier l’infrastructure CA et d’économiser des ressources
  • Évoque la décision du CA/Browser Forum et les attentes concernant les futurs plans de Microsoft
  • Fournit des conseils aux utilisateurs qui dépendent du service OCSP

À lire aussi

2 commentaires

 
mintdevelopers 2024-07-24

Les CRL posent des problèmes de vitesse de mise à jour/synchronisation et, à mesure que leur taille augmente, la vitesse de consultation peut aussi être limitée. Je me demande donc comment ce problème sera résolu. On peut aussi s’attendre à ce que le volume de certificats gérés par Let’s Encrypt soit énorme par rapport aux autres fournisseurs de certificats.
 
GN⁺ 2024-07-24
Avis Hacker News

  • Après avoir créé OCSP Watch, on constate souvent, en recherchant des certificats dans les journaux CT, que des autorités de certification oublient parfois qu’elles ont émis un certificat

    • Il est impossible de détecter cela, car les CRL ne fournissent pas l’état de tous les certificats émis
    • Il serait souhaitable que les programmes de racine suppriment l’exigence d’inclure une URL OCSP dans les certificats et imposent à tous les émetteurs de publier leur URL OCSP dans la CCADB

  • Ce serait bien d’ajouter systématiquement la contrainte Must Staple à tous les certificats

    • Cela résout les problèmes de confidentialité et permet une prise en charge plus large au-delà des navigateurs

  • letsencrypt est l’infrastructure Internet communautaire que nous imaginions il y a 20 ans

    • J’adore letsencrypt

  • Si le Microsoft Root Program rend l’OCSP facultatif, letsencrypt prévoit d’arrêter son service OCSP

    • Microsoft devrait appliquer ce changement dans les 6 à 12 prochains mois
    • Pour suivre les mises à jour, il est recommandé de s’abonner à la catégorie API Announcements sur Discourse

  • La gestion des certificats est un problème intéressant à l’intersection du comportement humain et de l’informatique

    • En théorie, c’est simple, mais en pratique, cela devient très complexe

  • Je me demande ce qu’il en est du support des CRL sur les serveurs web

    • NGINX et Apache ne prennent en charge que l’OCSP stapling

  • Je me demande s’il serait possible d’expliquer simplement ce que cela signifie pour les personnes qui utilisent LetsEncrypt

    • Je me demande si des changements seront nécessaires si l’on utilise un serveur comme Nginx ou Caddy

  • Je me demande comment vérifier la révocation d’un certificat si l’on n’utilise ni Chrome ni Firefox

    • Cela rend le web moins ouvert

  • Je me demande s’il existe des fournisseurs de certificats gratuits ou peu coûteux qui prennent en charge ACME, le challenge DNS-01 et l’OCSP

    • Je me demande s’il existe d’autres fournisseurs que ZeroSSL

  • Les CRL ne passent pas à l’échelle et mettent longtemps à être mises à jour

    • Je me demande pourquoi il n’existe pas de format binaire standard pour résoudre le problème des CRL qui atteignent plusieurs gigaoctets
    • En utilisant un filtre de Cuckoo ou une structure de données similaire, il serait possible de récupérer fréquemment un blob binaire à jour