Let's Encrypt - Thông báo chấm dứt dịch vụ OCSP

 (letsencrypt.org)
5 điểm bởi GN⁺ 2024-07-24 | 2 bình luận | Chia sẻ qua WhatsApp
  • Let’s Encrypt có kế hoạch chấm dứt hỗ trợ OCSP (Online Certificate Status Protocol) càng sớm càng tốt và chuyển sang Certificate Revocation Lists (CRLs)
  • OCSP và CRLs đều là các cơ chế truyền tải thông tin thu hồi chứng chỉ, nhưng CRLs có nhiều ưu điểm hơn so với OCSP
  • Let’s Encrypt đã cung cấp OCSP responder kể từ khi ra mắt cách đây 10 năm, và đã bổ sung hỗ trợ CRLs vào năm 2022
  • Các website và khách truy cập sẽ không bị ảnh hưởng bởi thay đổi này, nhưng một số phần mềm không chạy trong trình duyệt có thể bị ảnh hưởng

Lý do chấm dứt hỗ trợ OCSP

  • OCSP gây ra rủi ro đáng kể đối với quyền riêng tư trên Internet
  • Khi kiểm tra trạng thái thu hồi chứng chỉ qua OCSP, tổ chức phát hành chứng chỉ (CA) có thể biết ngay website nào đã được truy cập từ một địa chỉ IP cụ thể của khách truy cập
  • Let’s Encrypt không cố ý lưu giữ thông tin này, nhưng có thể bị buộc phải thu thập theo yêu cầu pháp lý
  • CRLs không gặp vấn đề này

Đơn giản hóa hạ tầng CA

  • Việc giữ cho hạ tầng CA của Let’s Encrypt đơn giản nhất có thể là điều quan trọng
  • Việc vận hành dịch vụ OCSP tiêu tốn nhiều tài nguyên, và giờ đây khi đã hỗ trợ CRLs, dịch vụ OCSP trở nên không còn cần thiết

Quyết định của CA/Browser Forum

  • Vào tháng 8 năm 2023, CA/Browser Forum đã thông qua quyết định cho phép các CA được tin cậy công khai có thể tùy chọn cung cấp dịch vụ OCSP
  • Ngoại trừ Microsoft, hầu hết các root program hiện không còn yêu cầu OCSP nữa
  • Nếu Microsoft Root Program cũng chuyển OCSP thành tùy chọn, Let’s Encrypt có kế hoạch công bố lộ trình cụ thể và nhanh chóng để chấm dứt dịch vụ OCSP

Khuyến nghị chấm dứt phụ thuộc vào dịch vụ OCSP

  • Những ai hiện đang phụ thuộc vào dịch vụ OCSP nên bắt đầu quá trình loại bỏ sự phụ thuộc đó càng sớm càng tốt
  • Nếu bạn đang dùng chứng chỉ Let’s Encrypt để bảo vệ các kết nối không qua trình duyệt như VPN, hãy xác nhận rằng phần mềm vẫn hoạt động đúng ngay cả khi chứng chỉ không còn chứa URL OCSP
  • Hầu hết các triển khai OCSP hoạt động theo kiểu "fail open", nên hệ thống sẽ không bị dừng lại nếu không thể lấy phản hồi OCSP

Tóm tắt của GN⁺

  • Giải thích lý do Let’s Encrypt chấm dứt hỗ trợ OCSP và chuyển sang CRLs, cùng tầm quan trọng của thay đổi này
  • Nhấn mạnh rằng OCSP có thể gây ra vấn đề về quyền riêng tư, và CRLs có thể giải quyết điều đó như thế nào
  • Đề cập đến nhu cầu đơn giản hóa hạ tầng CA và tiết kiệm tài nguyên
  • Thể hiện kỳ vọng về quyết định của CA/Browser Forum và kế hoạch sắp tới của Microsoft
  • Đưa ra lời khuyên cho những người dùng đang phụ thuộc vào dịch vụ OCSP

Bài viết liên quan

2 bình luận

 
mintdevelopers 2024-07-24

CRL có vấn đề về tốc độ gia hạn/đồng bộ, và khi kích thước tăng lên thì tốc độ tra cứu cũng có thể bị giới hạn, nên tôi khá tò mò họ sẽ giải quyết vấn đề này như thế nào. Hơn nữa, cũng có thể dự đoán rằng số lượng chứng chỉ do Let’s Encrypt quản lý sẽ lớn hơn rất nhiều so với các nhà cung cấp chứng chỉ khác.
 
GN⁺ 2024-07-24
Ý kiến trên Hacker News

  • Sau khi tạo OCSP Watch, người ta thường phát hiện trong log CT rằng CA đôi khi quên mất việc họ đã phát hành chứng chỉ

    • Không thể phát hiện điều này bằng CRL vì CRL không cung cấp trạng thái của mọi chứng chỉ đã phát hành
    • Mong rằng root program sẽ bỏ yêu cầu đưa URL OCSP vào chứng chỉ và yêu cầu công khai URL OCSP của mọi đơn vị phát hành lên CCADB

  • Nên mặc định thêm ràng buộc Must Staple vào mọi chứng chỉ

    • Điều này giải quyết vấn đề quyền riêng tư và cho phép hỗ trợ rộng rãi ngoài trình duyệt

  • letsencrypt là hạ tầng Internet lấy cộng đồng làm trung tâm mà chúng ta từng hình dung cách đây 20 năm

    • Rất yêu thích letsencrypt

  • Nếu Microsoft Root Program biến OCSP thành tùy chọn, letsencrypt có kế hoạch ngừng dịch vụ OCSP

    • Dự kiến Microsoft sẽ áp dụng thay đổi này trong vòng 6~12 tháng
    • Để theo dõi cập nhật, nên đăng ký danh mục API Announcements trên Discourse

  • Quản lý chứng chỉ là một bài toán thú vị ở giao điểm giữa hành vi con người và khoa học máy tính

    • Về lý thuyết thì đơn giản nhưng trong thực tế lại trở nên rất phức tạp

  • Tò mò không biết hỗ trợ CRL trên web server hiện ra sao

    • NGINX và Apache chỉ hỗ trợ OCSP stapling

  • Tò mò không biết điều này có ý nghĩa gì với những người đang dùng LetsEncrypt

    • Nếu đang dùng các server như Nginx hay Caddy thì có cần thay đổi gì không

  • Tò mò không biết nếu không dùng Chrome hay Firefox thì có thể kiểm tra việc thu hồi chứng chỉ bằng cách nào

    • Điều này khiến web trở nên kém mở hơn

  • Tò mò không biết có nhà cung cấp chứng chỉ miễn phí hoặc giá rẻ nào hỗ trợ ACME, thử thách DNS-01 và OCSP không

    • Ngoài ZeroSSL ra còn nhà cung cấp nào khác không

  • CRL không có khả năng mở rộng và mất nhiều thời gian để cập nhật

    • Tò mò không hiểu vì sao không có định dạng nhị phân tiêu chuẩn để giải quyết vấn đề CRL phình to tới hàng gigabyte
    • Có thể dùng cuckoo filter hoặc cấu trúc dữ liệu tương tự để thường xuyên tải về blob nhị phân mới nhất