Ücretsiz SSL/TLS sertifikalarının lider sağlayıcısı Let’s Encrypt, Çevrimiçi Sertifika Durum Protokolü (OCSP) desteğini Sertifika İptal Listeleri (CRL’ler) lehine sonlandıracağına ilişkin zaman çizelgesini resmi olarak duyurdu.
Gizlilik ve verimlilik kaygılarından kaynaklanan bu karar, kuruluşun sertifika iptal bilgilerini iletme biçiminde önemli bir değişikliğe işaret ediyor.
OCSP hizmetlerinin aşamalı olarak sona erdirilmesi aşamalar halinde gerçekleşecektir:
- 30 Ocak 2025: OCSP Must-Staple uzantısıyla düzenleme istekleri, talep eden hesap daha önce bu tür sertifikalar vermediği sürece başarısız olur.
- 7 Mayıs 2025: CRL URL’leri sertifikalara eklenecek ve OCSP URL’leri kaldırılacak. OCSP Must-Staple uzantısıyla yapılan tüm düzenleme istekleri başarısız olacaktır.
- 6 Ağustos 2025: Let’s Encrypt, OCSP yanıtlayıcılarını tamamen kapatacak.
OCSP Must-Staple uzantısını kullanan abonelerin, kesintileri önlemek için sistemlerini 7 Mayıs 2025’ten önce yeniden yapılandırmaları önerilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
OCSP’yi Neden Sonlandırmalı?
OCSP ve CRL’lerin her ikisi de sertifika geçerliliğini doğrulamaya yönelik mekanizmalardır. Ancak Let’s Encrypt, OCSP’nin bu karara yol açan çeşitli dezavantajlarını tespit etti:
- Gizlilik Riskleri: Bir tarayıcı veya yazılım, bir sertifikanın durumunu kontrol etmek için bir OCSP yanıtlayıcısını sorguladığında, ziyaret edilen web sitesini ve ziyaretçinin IP adresini Sertifika Yetkilisine (CA) bildirir. Let’s Encrypt bu verileri saklamasa da yasal baskılar CA’ları bu verileri toplamaya zorlayabilir. CRL’ler, müşterilerin göz atma alışkanlıklarını açığa çıkarmadan iptal durumlarını yerel olarak kontrol etmelerine olanak tanıdığından bu riski ortadan kaldırır.
- Operasyonel Verimlilik: OCSP hizmetlerinin bakımı Let’s Encrypt için yoğun kaynak tüketimi gerektiriyordu. Artık 2022’den bu yana desteklenen CRL’ler sayesinde kuruluş, altyapısını basitleştirebilir ve kaynakları daha etkili bir şekilde tahsis edebilir.
- Endüstri Trendleri: CA/Tarayıcı Forumu yakın zamanda OCSP’yi genel olarak güvenilen CA’lar için isteğe bağlı hale getirdi. Büyük kök programların çoğu, OCSP gereksinimini zaten kaldırmış durumda ve Microsoft’un da yakında aynı şeyi yapması bekleniyor.
Çoğu web sitesi ve tarayıcı için bu geçiş sorunsuz olacaktır. Ancak, OCSP’ye dayanan tarayıcı dışı yazılımlar, OCSP URL’si olmayan sertifikalarla uyumluluğun sağlanması için güncellemeler gerektirebilir.
Let’s Encrypt, OCSP’ye güvenen kullanıcıların CRL’lere hemen geçiş yapmaya başlamalarını önerir.
Neden OCSP’den CRL’lere Geçiş?
Bu değişimin arkasındaki temel motivasyon, OCSP ile ilişkili gizlilik riskidir. Bir kullanıcı bir web sitesini ziyaret ettiğinde, OCSP yanıtlayıcısını çalıştıran CA, belirli IP adreslerinden hangi sitelerin ziyaret edildiğini izleyebilir.
Let’s Encrypt bu bilgileri saklamasa da, yasal zorunluluk potansiyeli mevcuttur. Öte yandan CRL’ler, istemci tarafından yerel olarak indirilip kontrol edildikleri için bu gizlilik riskini oluşturmazlar.
Ek olarak OCSP, Let’s Encrypt için yoğun kaynak tüketiyor ve artık hizmetlerinin diğer yönlerini geliştirmeye yönlendirilebilecek önemli operasyonel kaynaklar tüketiyor.
CA/Tarayıcı Forumu OCSP’yi genel olarak güvenilen CA’lar için isteğe bağlı bir hizmet haline getirdiğinden ve Microsoft’unki dışındaki çoğu kök program artık OCSP’yi zorunlu kılmadığından, CRL’lere geçiş sektör trendleriyle de uyumludur.
OCSP Must-Staple, tarayıcıların TLS anlaşmaları sırasında zımbalanmış yanıtları doğrulamasını zorunlu kılarak güvenliği artırmak için tanıtıldı. Ancak sınırlı tarayıcı desteği ve uygulama zorlukları, benimsenmesini engelledi. OCSP hizmetlerinin kaldırılmasıyla birlikte Let’s Encrypt, bu uzantıya yönelik desteği de sonlandıracak.
Let’s Encrypt, şu anda OCSP’ye güvenen tüm kullanıcıları CRL’lere derhal geçiş yapmaya teşvik ediyor. OCSP’nin aşamalı olarak kullanımdan kaldırılması zaman çizelgesine ilişkin güncellemeler, Let’s Encrypt’in Discourse’taki API Duyuruları kategorisinde mevcut olacaktır.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses