Let's Encrypt stopt volgend jaar augustus met support van OCSP

[Captain Kirk]

Let's Encrypt stopt volgend jaar augustus met de support van het Online Certificate Status Protocol (OCSP), zo heeft de certificaatautoriteit aangekondigd. Het einde van de ondersteuning vindt gefaseerd plaats. Volgens Let's Encrypt is de voornaamste reden om met de OCSP-support te stoppen dat het een aanzienlijk risico voor de privacy op internet vormt.

Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken.

Deze informatie moet vervolgens aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren.

Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren.

Doordat de browser voor elke bezochte website een OCSP-request verstuurt kan een malafide of gedwongen certificaatautoriteit die de OCSP responder beheert daarnaast bijhouden welke websites iemand vanaf een bepaald ip-adres bezoekt. "Zelfs wanneer een certificaatautoriteit deze informatie niet bewaart, zoals het geval is met Let's Encrypt, kunnen certificaatautoriteiten juridisch worden gedwongen dit te doen. Dit speelt niet bij CRLs", zegt Josh Aas van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt.

Daarnaast wordt de OCSP-support uitgefaseerd om de infrastructuur van Let's Encrypt zo eenvoudig mogelijk te houden, voegt Aas toe. Het ondersteunen van OCSP zou 'aanzienlijke middelen' kosten die de certificaatautoriteit liever aan andere onderdelen uitgeeft. Aas roept alle organisaties en partijen op die van OCSP-services gebruikmaken om deze afhankelijkheid zo snel mogelijk af te bouwen.

Let's Encrypt zal het einde van de support gefaseerd laten plaatsvinden. Zo wordt vanaf januari de support van 'OCSP Must-Staple requests' gestopt. Vanaf 7 mei zullen er geen OCSP URL's meer aan uitgegeven certificaten worden toegevoegd. Op 6 augustus schakelt Let's Encrypt de eigen OCSP responders uit. "CRLs worden breed door browsers ondersteund en kunnen privacyvoordelen aan alle sites bieden, zonder dat hiervoor een speciale webserverconfiguratie is vereist", aldus Aas.

 

bron: https://www.security.nl