Let's Encrypt, mit über 387 Millionen gültigen Zertifikaten die größte Zertifizierungsstelle, trennt sich vom Online Certificate Status Protocol (OCSP). Den konkreten Zeitplan für die Umstellung teilte die CA (Certificate Authority) nun in ihrem Blog mit. Bereits Ende Januar 2025 verweigert Let's Encrypt die Ausstellung bestimmter Zertifikate und spätestens im Mai sind die altbekannten Sperrlisten (CRL, Certificate Revocation List) wieder omnipräsent.
Anzeige
Seine Entwickler hatten OCSP als technisch fortgeschrittener Ersatz für die unhandlichen Sperrlisten entworfen. Der Zweck beider Lösungen ist derselbe: Zertifikate, die etwa wegen Verlust des Schlüsselmaterials, wegen mißbräuchlicher oder fehlerhafter Ausstellung von der CA zurückgezogen (revoked) wurden, dürfen von Browsern nicht als gültig akzeptiert werden. OCSP sah vor, dass die Webbrowser bei jedem Aufbau einer verschlüsselten Verbindung bei der CA nach dem Status des vorgezeigten Zertifikats fragten.
Das stellte die Zertifizierungsstellen nicht nur vor Lastprobleme (die OCSP-Responder galten als notorisch überlastet und instabil), sondern warf auch Datenschutzfragen auf. Durch die Auswertung der OCSP-Anfragen konnten Zertifizierungsstellen, darunter auch Behörden und staatliche Organisationen, das Surfverhalten recht genau protokollieren. Ein Protokollzusatz namens "OCSP Stapling" beseitigte diese Schwierigkeit zwar, setzte sich jedoch bei Browserherstellern nicht durch.
Die "Let's Encrypt"-CA war mit OCSP-Unterstützung gestartet und hatte ursprünglich gar nicht vor, CRLs zu unterstützen. Diese Einschätzung revidierten die Betreiber jedoch im Jahr 2022 – nun sind die Sperrlisten bald wieder das einzige Mittel der Wahl zur Statusprüfung.
Ab dem 7. Mai 2025 wird jedes von Let's Encrypt ausgestellte Zertifikat die URLs zur Sperrliste enthalten, nicht aber die des OCSP Responders. Auch Neuanfragen zu Zertifikaten, die OCSP-Erweiterungen enthalten, werden rundweg abgelehnt. Am 6. August gehen die OCSP-Server dann vom Netz.
Die Ankündigung kommt jedoch nicht überraschend. Bereits im Juli 2024 hatte Let's Encrypt sich von OCSP losgesagt, aber noch keinen Zeitplan für konkrete Schritte genannt. Das CA/Browser Forum degradierte im vergangenen Jahr mit einer Regeländerung OCSP zum optionalen und erhob CRLs zum Pflichtmechanismus und bereits vor zwei Jahren hatten Apple und Mozilla sich für die Rückkehr von CRLs stark gemacht.
Anzeige
Für Administratoren und Softwareentwickler bedeutet der konkrete Zeitplan, dass sie ihre Werkzeuge zur automatischen Zertifikatsbeantragung noch im ablaufenden Jahr kontrollieren und womöglich auf den neuesten Stand bringen sollten. "certbot", das Kommandozeilenprogramm zur Zertifikatsverwaltung auf vielen Linux-Systemen, unterstützt zwar die wegfallende Erweiterung "OCSP Must-Staple", setzt sie in der Standardkonfiguration jedoch nicht ein. Selbstgeschriebene Automatismen handeln da möglicherweise anders, was Systemverwalter sich genau ansehen sollten.
(
Kommentare