Let's Encrypt прекращает OCSP

https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html
Сегодня утром в одном письме написал о том, что за последние 10-15 лет в
экосистеме web-броузеров, которая диктуется CA/Browser Forum-ом, всё шло
только в сторону меньшей безопасности и большей открытости для MitM-а.
Выпилили всех бесплатных CA, которые не под юрисдикцией США. Выпилили
HPKP, который вообще-то даже присутствовал в Chrome/Firefox/Opera.
Противятся DANE. Убрали (хотя бы) цветовую дифференциацию между DV и EV
сертификатами. Яро против квалифицированных сертификатов в ЕС
(3529cf4ce9a96e399aaf63b426bd320dc082cf68). Ограничивают срок жизни
сертификатов (сейчас до года, ходят речи о ещё в разы меньшем). Не
разрешают ed25519 сертификаты. Всё для того, чтобы Let's Encrypt (и
другие США/НАТО-approved) был единственным (что уже произошло) и
неповторимым и чтобы мешать как можно больше любым идеям certificate
pinning-а, как минимум.

И теперь вот хотят убрать OCSP. Не то чтобы я поддерживал и был за эту
технологию, ибо в своём чистом виде она, действительно, мешает
приватности. Но многие же применяют OCSP stapling. Как минимум, OCSP
ощутимо сужает временное окно, когда сертификат отозвали (возможно из-за
компрометации), но он ещё продолжает использоваться. CRL-и же
относительно редко выпускаются. Да и... много кто встречал экосистем
готовых к периодическому обновлению имеющихся CRL-ей и их долговременном
хранении? Минус ещё одна защита, которая всё же заноза для MitM.

комментарий 0:

From: Sergey Matveev
Date: 2024-07-25 07:09:21Z

https://utcc.utoronto.ca/~cks/space/blog/web/OCSPIsBasicallyDead

комментарий 1:

From: Sergey Matveev
Date: 2024-07-26 16:12:04Z

https://www.securitylab.ru/news/550530.php