Что: f7ff2058ca2d361def908c1f48dd6cab1a861c66
Когда: 2024-07-24 11:19:43+03:00
Темы: crypto web
Let's Encrypt прекращает OCSP https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html Сегодня утром в одном письме написал о том, что за последние 10-15 лет в экосистеме web-броузеров, которая диктуется CA/Browser Forum-ом, всё шло только в сторону меньшей безопасности и большей открытости для MitM-а. Выпилили всех бесплатных CA, которые не под юрисдикцией США. Выпилили HPKP, который вообще-то даже присутствовал в Chrome/Firefox/Opera. Противятся DANE. Убрали (хотя бы) цветовую дифференциацию между DV и EV сертификатами. Яро против квалифицированных сертификатов в ЕС (3529cf4ce9a96e399aaf63b426bd320dc082cf68). Ограничивают срок жизни сертификатов (сейчас до года, ходят речи о ещё в разы меньшем). Не разрешают ed25519 сертификаты. Всё для того, чтобы Let's Encrypt (и другие США/НАТО-approved) был единственным (что уже произошло) и неповторимым и чтобы мешать как можно больше любым идеям certificate pinning-а, как минимум. И теперь вот хотят убрать OCSP. Не то чтобы я поддерживал и был за эту технологию, ибо в своём чистом виде она, действительно, мешает приватности. Но многие же применяют OCSP stapling. Как минимум, OCSP ощутимо сужает временное окно, когда сертификат отозвали (возможно из-за компрометации), но он ещё продолжает использоваться. CRL-и же относительно редко выпускаются. Да и... много кто встречал экосистем готовых к периодическому обновлению имеющихся CRL-ей и их долговременном хранении? Минус ещё одна защита, которая всё же заноза для MitM.
From: Sergey Matveev Date: 2024-07-25 07:09:21Z https://utcc.utoronto.ca/~cks/space/blog/web/OCSPIsBasicallyDead
From: Sergey Matveev Date: 2024-07-26 16:12:04Z https://www.securitylab.ru/news/550530.php
Сгенерирован: SGBlog 0.34.0