Let's Encrypt Mengumumkan Penghentian Layanan OCSP

 (letsencrypt.org)
5 poin oleh GN⁺ 2024-07-24 | 2 komentar | Bagikan ke WhatsApp
  • Let’s Encrypt berencana menghentikan dukungan OCSP (Online Certificate Status Protocol) secepat mungkin dan beralih ke Certificate Revocation Lists (CRLs)
  • OCSP dan CRLs sama-sama merupakan mekanisme untuk menyampaikan informasi pencabutan sertifikat, tetapi CRLs memiliki lebih banyak keunggulan dibanding OCSP
  • Let’s Encrypt telah menyediakan responder OCSP sejak peluncurannya 10 tahun lalu, dan menambahkan dukungan CRLs pada 2022
  • Situs web dan pengunjung tidak akan terdampak oleh perubahan ini, tetapi beberapa perangkat lunak non-browser mungkin akan terpengaruh

Alasan penghentian dukungan OCSP

  • OCSP menimbulkan risiko yang signifikan terhadap privasi internet
  • Saat status pencabutan sertifikat diperiksa melalui OCSP, CA dapat langsung mengetahui situs web yang dikunjungi dari alamat IP tertentu milik pengunjung
  • Let’s Encrypt sengaja tidak menyimpan informasi ini, tetapi secara hukum dapat dipaksa untuk mengumpulkannya
  • CRLs tidak memiliki masalah ini

Penyederhanaan infrastruktur CA

  • Penting bagi Let’s Encrypt untuk menjaga infrastruktur CA-nya sesederhana mungkin
  • Pengoperasian layanan OCSP menghabiskan banyak sumber daya, dan karena kini sudah mendukung CRLs, layanan OCSP menjadi tidak lagi diperlukan

Keputusan CA/Browser Forum

  • Pada Agustus 2023, CA/Browser Forum mengesahkan keputusan yang memungkinkan CA tepercaya publik untuk menyediakan layanan OCSP secara opsional
  • Sebagian besar root program, kecuali Microsoft, tidak lagi mewajibkan OCSP
  • Jika Microsoft Root Program juga menjadikan OCSP sebagai opsi, Let’s Encrypt berencana mengumumkan jadwal yang konkret dan cepat untuk penghentian layanan OCSP

Rekomendasi untuk mengakhiri ketergantungan pada layanan OCSP

  • Mereka yang saat ini bergantung pada layanan OCSP harus mulai mengakhiri ketergantungan tersebut secepat mungkin
  • Jika Anda menggunakan sertifikat Let’s Encrypt untuk mengamankan komunikasi non-browser seperti VPN, Anda perlu memastikan perangkat lunak tetap berfungsi dengan benar meskipun sertifikat tidak menyertakan URL OCSP
  • Sebagian besar implementasi OCSP bekerja dengan pendekatan "fail open", sehingga sistem tidak akan berhenti meskipun respons OCSP tidak dapat diambil

Ringkasan GN⁺

  • Menjelaskan alasan Let’s Encrypt menghentikan dukungan OCSP dan beralih ke CRLs serta pentingnya perubahan ini
  • Menekankan bahwa OCSP dapat menimbulkan masalah privasi, dan bagaimana CRLs dapat mengatasinya
  • Menyebutkan kebutuhan untuk menyederhanakan infrastruktur CA dan menghemat sumber daya
  • Menunjukkan keputusan CA/Browser Forum serta harapan terhadap rencana Microsoft ke depan
  • Memberikan saran kepada pengguna yang bergantung pada layanan OCSP

Bacaan terkait

2 komentar

 
mintdevelopers 2024-07-24

CRL memang punya isu kecepatan pembaruan/sinkronisasi, dan ketika ukurannya membesar, kecepatan pencarian juga bisa jadi terbatas. Saya penasaran bagaimana masalah ini akan diselesaikan. Selain itu, dibandingkan provider sertifikat lain, jumlah sertifikat yang dikelola Let’s Encrypt kemungkinan juga sangat besar.
 
GN⁺ 2024-07-24
Komentar Hacker News

  • Setelah membuat OCSP Watch, saya cukup sering menemukan kasus ketika sertifikat ditemukan di log CT tetapi CA seolah lupa bahwa mereka pernah menerbitkan sertifikat tersebut

    • Karena CRL tidak menyediakan status untuk semua sertifikat yang diterbitkan, hal ini tidak bisa dideteksi
    • Akan bagus jika root program menghapus persyaratan untuk menyertakan URL OCSP di sertifikat, dan mewajibkan semua penerbit mempublikasikan URL OCSP mereka ke CCADB

  • Sebaiknya pembatasan Must Staple ditambahkan secara default ke semua sertifikat

    • Ini menyelesaikan masalah privasi dan memungkinkan dukungan yang lebih luas di luar browser

  • letsencrypt adalah infrastruktur internet berbasis komunitas seperti yang kita bayangkan 20 tahun lalu

    • Saya suka letsencrypt

  • Jika Microsoft Root Program menjadikan OCSP opsional, letsencrypt berencana menghentikan layanan OCSP

    • Diperkirakan Microsoft akan menerapkan perubahan ini dalam 6~12 bulan ke depan
    • Untuk melihat pembaruan, sebaiknya berlangganan kategori API Announcements di Discourse

  • Pengelolaan sertifikat adalah masalah menarik di persimpangan antara perilaku manusia dan ilmu komputer

    • Secara teori sederhana, tetapi dalam praktiknya menjadi sangat kompleks

  • Saya penasaran bagaimana dukungan CRL di web server

    • NGINX dan Apache hanya mendukung OCSP stapling

  • Saya penasaran apakah ada yang bisa menjelaskan dengan sederhana apa artinya ini bagi pengguna LetsEncrypt

    • Jika menggunakan server seperti Nginx atau Caddy, saya penasaran apakah perlu ada perubahan

  • Jika tidak menggunakan Chrome atau Firefox, saya penasaran bagaimana cara memeriksa pencabutan sertifikat

    • Ini membuat web menjadi kurang terbuka

  • Saya penasaran apakah ada penyedia sertifikat gratis atau murah yang mendukung ACME, tantangan DNS-01, dan OCSP

    • Saya penasaran apakah ada penyedia lain selain ZeroSSL

  • CRL tidak skalabel dan butuh waktu lama untuk diperbarui

    • Saya penasaran mengapa tidak ada format biner standar untuk mengatasi masalah CRL yang membesar hingga ukuran gigabyte
    • Dengan menggunakan cuckoo filter atau struktur data serupa, blob biner terbaru bisa sering diambil