Let's Encrypt ประกาศแผนการปิดเซิร์ฟเวอร์ Online Certificate Status Protocol (OCSP) ที่ใช้สำหรับการตรวจสอบว่าใบรับรองถูกยกเลิกหรือไม่ และเตรียมหันไปเผยแพร่รายการใบรับรองที่ถูกยกเลิกผ่านทาง Certificate Revocation Lists (CRLs) ในเร็วๆ นี้
CRL เป็นกระบวนการแจ้งเตือนใบรับรองถูกยกเลิกที่ใช้กันมานาน แต่มีปัญหาว่ากระบวนการแจ้งเตือนล่าช้านานหลายวันจนถึงนับสัปดาห์ OCSP จึงมาแทนที่ด้วยการให้เบราว์เซอร์ตรวจสอบใบรับรองต่อเนื่อง แต่กระบวนการเช่นนี้มีข้อเสียสำคัญคือ CA ผู้ให้บริการ OCSP จะเห็นไอพีของคนที่เข้าเว็บแต่ละโดเมนแทบทั้งโลก ขณะที่ CRL นั้นมีการปรับปรุงเรื่อยมา จนทุกวันนี้ระยะเวลาในการเผยแพร่ CRL นั้นใช้เวลาไม่กี่ชั่วโมงเท่านั้น ทาง Let's Encrypt เองเพิ่งเปิดใช้งาน CRL เมื่อปี 2022 เท่านั้น
CA/Browser Forum นั้นลงคะแนนยกเลิกข้อบังคับให้ CA ต้องให้บริการ OCSP ตั้งแต่เดือนสิงหาคม 2023 ตอนนี้ยังเหลือ Microsoft Root Program ที่ยังบังคับให้ CA ต้องรองรับ OCSP อยู่ แต่คาดว่าจะถอดเงื่อนไขนี้ออกไปภายใน 6-12 เดือนข้างหน้า หลังจากนั้น Let's Encrypt ก็จะถอด OCSP ตามไปด้วย
ที่มา - Let's Encrypt
Topics:
Let's Encrypt
Continue reading...
CRL เป็นกระบวนการแจ้งเตือนใบรับรองถูกยกเลิกที่ใช้กันมานาน แต่มีปัญหาว่ากระบวนการแจ้งเตือนล่าช้านานหลายวันจนถึงนับสัปดาห์ OCSP จึงมาแทนที่ด้วยการให้เบราว์เซอร์ตรวจสอบใบรับรองต่อเนื่อง แต่กระบวนการเช่นนี้มีข้อเสียสำคัญคือ CA ผู้ให้บริการ OCSP จะเห็นไอพีของคนที่เข้าเว็บแต่ละโดเมนแทบทั้งโลก ขณะที่ CRL นั้นมีการปรับปรุงเรื่อยมา จนทุกวันนี้ระยะเวลาในการเผยแพร่ CRL นั้นใช้เวลาไม่กี่ชั่วโมงเท่านั้น ทาง Let's Encrypt เองเพิ่งเปิดใช้งาน CRL เมื่อปี 2022 เท่านั้น
CA/Browser Forum นั้นลงคะแนนยกเลิกข้อบังคับให้ CA ต้องให้บริการ OCSP ตั้งแต่เดือนสิงหาคม 2023 ตอนนี้ยังเหลือ Microsoft Root Program ที่ยังบังคับให้ CA ต้องรองรับ OCSP อยู่ แต่คาดว่าจะถอดเงื่อนไขนี้ออกไปภายใน 6-12 เดือนข้างหน้า หลังจากนั้น Let's Encrypt ก็จะถอด OCSP ตามไปด้วย
ที่มา - Let's Encrypt
Topics:
Let's Encrypt
Continue reading...