Let's Encrypt anuncia el fin del servicio OCSP

 (letsencrypt.org)
5 puntos por GN⁺ 2024-07-24 | 2 comentarios | Compartir por WhatsApp
  • Let’s Encrypt planea finalizar el soporte de OCSP (Online Certificate Status Protocol) lo antes posible y cambiar a Certificate Revocation Lists (CRLs)
  • Tanto OCSP como las CRLs son mecanismos para transmitir información de revocación de certificados, pero las CRLs tienen muchas ventajas frente a OCSP
  • Let’s Encrypt ha ofrecido un respondedor OCSP desde su lanzamiento hace 10 años, y en 2022 añadió soporte para CRLs
  • Este cambio no afectará a los sitios web ni a los visitantes, pero sí podría afectar a algunos programas que no son navegadores

Razones para terminar el soporte de OCSP

  • OCSP representa un riesgo considerable para la privacidad en Internet
  • Cuando se consulta el estado de revocación de un certificado mediante OCSP, la autoridad certificadora (CA) puede saber de inmediato qué sitio web fue visitado desde una dirección IP específica del visitante
  • Let’s Encrypt no conserva esta información intencionalmente, pero podría ser obligada legalmente a recopilarla
  • Las CRLs no tienen este problema

Simplificación de la infraestructura de la CA

  • Es importante mantener la infraestructura de CA de Let’s Encrypt lo más simple posible
  • Operar el servicio OCSP consume muchos recursos y, ahora que ya existen CRLs, el servicio OCSP deja de ser necesario

Decisión del CA/Browser Forum

  • En agosto de 2023, el CA/Browser Forum aprobó una decisión para permitir que las CA de confianza pública puedan ofrecer el servicio OCSP de forma opcional
  • La mayoría de los programas raíz, excepto Microsoft, ya no exigen OCSP
  • Si el Microsoft Root Program también hace opcional OCSP, Let’s Encrypt planea anunciar un calendario concreto y rápido para cerrar el servicio OCSP

Recomendación para dejar de depender del servicio OCSP

  • Quienes actualmente dependen del servicio OCSP deberían comenzar cuanto antes el proceso para eliminar esa dependencia
  • Si usas certificados de Let’s Encrypt para proteger comunicaciones fuera del navegador, como una VPN, debes verificar que el software funcione correctamente aunque el certificado no incluya una URL de OCSP
  • La mayoría de las implementaciones de OCSP funcionan en modo "fail open", por lo que el sistema no se interrumpe si no puede obtener una respuesta OCSP

Resumen de GN⁺

  • Explica por qué Let’s Encrypt dejará de dar soporte a OCSP y cambiará a CRLs, y por qué esto es importante
  • Destaca que OCSP puede generar problemas de privacidad y cómo las CRLs pueden resolverlos
  • Menciona la necesidad de simplificar la infraestructura de CA y ahorrar recursos
  • Señala la decisión del CA/Browser Forum y la expectativa sobre los planes futuros de Microsoft
  • Ofrece recomendaciones a los usuarios que dependen del servicio OCSP

Lecturas relacionadas

2 comentarios

 
mintdevelopers 2024-07-24

Los CRL tienen problemas de velocidad de renovación/sincronización, y a medida que crecen también pueden surgir limitaciones en la velocidad de búsqueda, así que me da curiosidad cómo planean resolver este problema. Además, también se puede prever que la cantidad de certificados que administra Let’s Encrypt sea enorme en comparación con otros proveedores de certificados.
 
GN⁺ 2024-07-24
Comentarios en Hacker News

  • Después de crear OCSP Watch, a menudo se descubrió que, al buscar certificados en los registros CT, la CA había olvidado el hecho de que emitió el certificado

    • No se puede detectar esto porque las CRL no proporcionan el estado de todos los certificados emitidos
    • Ojalá los programas raíz eliminaran el requisito de incluir una URL de OCSP en el certificado y exigieran publicar en CCADB las URL de OCSP de todos los emisores

  • Sería bueno agregar obligatoriamente la restricción Must Staple a todos los certificados

    • Esto resuelve el problema de privacidad y permite un soporte amplio fuera de los navegadores

  • letsencrypt es la infraestructura de internet centrada en la comunidad que imaginábamos hace 20 años

    • amo letsencrypt

  • Si el Microsoft Root Program hace que OCSP sea opcional, letsencrypt planea cerrar el servicio OCSP

    • Se espera que Microsoft implemente este cambio en los próximos 6 a 12 meses
    • Para revisar actualizaciones, conviene suscribirse a la categoría API Announcements en Discourse

  • La gestión de certificados es un problema interesante en la intersección entre el comportamiento humano y la informática

    • En teoría es simple, pero en la práctica se vuelve muy complejo

  • Me pregunto cómo está el soporte de CRL en los servidores web

    • NGINX y Apache solo admiten OCSP stapling

  • Me pregunto si alguien puede explicar fácilmente qué significa esto para quienes usan LetsEncrypt

    • Me pregunto si hace falta algún cambio si se usan servidores como Nginx o Caddy

  • Me pregunto cómo se puede verificar la revocación de certificados si no se usa Chrome o Firefox

    • Esto hace que la web sea menos abierta

  • Me pregunto si hay proveedores de certificados gratuitos o baratos que admitan ACME, el desafío DNS-01 y OCSP

    • Me pregunto si hay otros proveedores además de ZeroSSL

  • Las CRL no escalan y tardan mucho en actualizarse

    • Me pregunto por qué no existe un formato binario estándar para resolver el problema de que las CRL crezcan hasta gigabytes
    • Con un filtro cuckoo o una estructura de datos similar, se podría descargar con frecuencia el blob binario más reciente