- Let’s Encrypt जल्द से जल्द OCSP (Online Certificate Status Protocol) सपोर्ट बंद करके Certificate Revocation Lists (CRLs) पर स्विच करने की योजना बना रहा है
- OCSP और CRLs दोनों ही certificate revocation जानकारी देने के मेकैनिज़्म हैं, लेकिन CRLs के OCSP की तुलना में कई फायदे हैं
- Let’s Encrypt लॉन्च होने के बाद पिछले 10 वर्षों से OCSP responder उपलब्ध कराता रहा है, और 2022 में उसने CRLs सपोर्ट जोड़ा
- इस बदलाव का वेबसाइटों और विज़िटर्स पर असर नहीं पड़ेगा, लेकिन कुछ non-browser software प्रभावित हो सकते हैं
OCSP सपोर्ट बंद करने का कारण
- OCSP इंटरनेट privacy के लिए गंभीर जोखिम पैदा करता है
- OCSP के जरिए certificate revocation status जांचते समय, certificate authority (CA) तुरंत जान सकती है कि किसी खास IP address से कौन-सी वेबसाइट देखी गई
- Let’s Encrypt इस जानकारी को जानबूझकर संग्रहीत नहीं करता, लेकिन कानूनी रूप से इसे इकट्ठा करने के लिए मजबूर किया जा सकता है
- CRLs में यह समस्या नहीं है
CA infrastructure को सरल बनाना
- Let’s Encrypt की CA infrastructure को जितना संभव हो उतना सरल बनाए रखना महत्वपूर्ण है
- OCSP सेवा चलाने में काफी संसाधन लगते हैं, और अब CRLs सपोर्ट मौजूद होने के कारण OCSP सेवा की जरूरत नहीं रह गई है
CA/Browser Forum का फैसला
- अगस्त 2023 में, CA/Browser Forum ने ऐसा फैसला पारित किया जिससे publicly trusted CA के लिए OCSP सेवा देना वैकल्पिक हो गया
- Microsoft को छोड़कर अधिकांश root programs अब OCSP की मांग नहीं करते
- अगर Microsoft Root Program भी OCSP को वैकल्पिक बना देता है, तो Let’s Encrypt OCSP सेवा बंद करने के लिए ठोस और तेज़ टाइमलाइन घोषित करने की योजना बना रहा है
OCSP सेवा पर निर्भरता खत्म करने की सिफारिश
- जो लोग अभी OCSP सेवा पर निर्भर हैं, उन्हें जितनी जल्दी हो सके इस निर्भरता को खत्म करने की प्रक्रिया शुरू कर देनी चाहिए
- यदि आप Let’s Encrypt certificate का उपयोग करके VPN जैसे non-browser communication को सुरक्षित कर रहे हैं, तो यह सुनिश्चित करना चाहिए कि certificate में OCSP URL न होने पर भी software सही तरह से काम करे
- अधिकांश OCSP implementations "fail open" तरीके से काम करती हैं, इसलिए अगर OCSP response नहीं मिल पाता तो सिस्टम बंद नहीं होता
GN⁺ का सार
- यह बताता है कि Let’s Encrypt OCSP सपोर्ट बंद करके CRLs पर क्यों जा रहा है और यह क्यों महत्वपूर्ण है
- इसमें जोर दिया गया है कि OCSP privacy समस्याएं पैदा कर सकता है और CRLs उन्हें कैसे हल कर सकते हैं
- CA infrastructure को सरल बनाने और संसाधन बचाने की जरूरत का उल्लेख किया गया है
- CA/Browser Forum के फैसले और Microsoft की आगे की योजना को लेकर उम्मीद जताई गई है
- OCSP सेवा पर निर्भर उपयोगकर्ताओं के लिए सलाह दी गई है
2 टिप्पणियां
CRLs में रिन्यूअल/सिंक स्पीड की दिक्कतें होती हैं, और आकार बढ़ने पर लुकअप स्पीड पर भी सीमाएँ आ सकती हैं। यह समस्या कैसे हल की जाएगी, यह जानने की जिज्ञासा है। साथ ही, दूसरे certificate providers की तुलना में Let’s Encrypt द्वारा मैनेज किए जाने वाले certificates की संख्या भी बहुत अधिक होने की संभावना लगती है।
Hacker News राय
OCSP Watch बनाने के बाद, CT logs में certificates खोजते समय अक्सर यह पाया गया कि CA यह भूल गया था कि उसने certificate जारी किया था
सभी certificates में बिना शर्त Must Staple restriction जोड़ना अच्छा होगा
letsencrypt वह community-केंद्रित internet infrastructure है जिसकी हमने 20 साल पहले कल्पना की थी
अगर Microsoft Root Program OCSP को optional बना देता है, तो letsencrypt OCSP service बंद करने की योजना बना रहा है
certificate management मानव व्यवहार और computer science के intersection पर मौजूद एक दिलचस्प समस्या है
web servers में CRL support कैसा है, यह जानने की जिज्ञासा है
जानना चाहता हूँ कि LetsEncrypt इस्तेमाल करने वालों के लिए इसका मतलब आसान शब्दों में क्या है
अगर Chrome या Firefox का उपयोग नहीं कर रहे हैं, तो certificate revocation कैसे जांची जा सकती है, यह जिज्ञासा है
यह जानना चाहता हूँ कि ACME, DNS-01 challenge, और OCSP को support करने वाले free या सस्ते certificate providers हैं या नहीं
CRL scalable नहीं है और updates आने में बहुत समय लगता है