Тег: #ocsp — Hacker News Digest

Not all browsers perform revocation checking (revoked-isrgrootx1.letsencrypt.org)

Этот домен показывает отозванный сертификат, подписанный корнем ISRG Root X1.
Увидеть отзыв удаётся не во всех браузерах — проверка отзыва работает по-разному.
Let's Encrypt — бесплатный удостоверяющий центр; страница создана для демонстрации механизма отзыва.

Как участвовать

Код ЦС: github.com/letsencrypt/boulder
Форум: community.letsencrypt.org
Стать спонсором: letsencrypt.org/become-a-sponsor

by sugarpimpdorsey • 15 сентября 2025 г. в 03:18 • 81 points

Оригинал • HN

#letsencrypt #webpki #ocsp #crl #tls #boulder #certificate-revocation #short-lived-certificates

Комментарии (69)

Обсуждается проблема неработоспособности механизмов отзыва сертификатов (revocation) в WebPKI, на примере сайта с отозванным сертификатом, который браузеры не блокируют.
Пользователи тестируют различные браузеры (Chrome, Firefox, Safari, Edge) и констатируют, что ни один из них не распознает сертификат как отозванный.
Причины: разные подходы к проверке (OCSP, CRL), отсутствие единого централизованного авторитета по отзыву и то, что многие браузеры вообще не выполняют live-проверки из-за проблем с производительностью и приватностью.
Отмечается, что индустрия движется в сторону сертификатов с коротким сроком жизни (short-lived), что делает проблему отзова менее актуальной, так как такой сертификат быстро сам истекает.
Упоминается, что Let's Encrypt прекратил поддержку OCSP и предлагает 6-дневные сертификаты, что еще больше снижает важность механизмов отзыва.

OCSP Service Has Reached End of Life (letsencrypt.org)

OCSP-сервис Let's Encrypt отключён

С 6 августа 2025 года Let's Encrypt полностью выключил OCSP-ресурдер.
Все выпущенные после марта сертификаты уже не содержали ссылок на OCSP, и старые истекли. Отныне отзывы публикуются только через CRL.

Причины отказа

Конфиденциальность: OCSP раскрывает посещаемые сайты и IP-адрес запрашивающего.
Простота: CRL теперь полноценно поддерживаются, а OCSP требовал значительных ресурсов.

Факты

Пик нагрузки: 340 млрд запросов/мес (~140 000 зап/с).
CDN предоставлял Akamai безвозмездно последние 10 лет.

Что дальше
Клиенты, требующие проверки отзыва, должны использовать CRL.

by pfexec • 14 сентября 2025 г. в 19:34 • 202 points

Оригинал • HN

#ocsp #crl #letsencrypt #certificates #akamai #ssl #tls #security #crlsets #ct-logs

Комментарии (71)

Участники обсуждают отказ от OCSP и переход на CRL: оба механизма называют «костылями» — CRL слишком тяжёлые и медленно обновляются, OCSP требует онлайна и уязвима к MITM/DoS.
Chrome вообще не проверяет ни OCSP, ни CRL, а пользуется собственным CRLSets-фильтром от Google; большинства пользователей это не знают.
Проблема OCSP в «fail-open»-режиме: если ответ заблокирован, сертификат считается валидным, что делает систему бесполезной против активной атаки.
Предложенные замены — stapling и короткоживущие (24-часовые) сертификаты — тоже критикуют: stapling почти никто не делает, а массовый выпуск 24-часовых certs перегрузит CT-логи и превратит любые проблемы валидации в немедленный аутейдж.
Итог: отзыв по-прежнему нерешённая проблема; сообщество склоняется к «просто живём с короткими сертами» и считает OCSP/CRL устаревшими.