Let’s Encrypt, Çevrimiçi Sertifika Durum Protokolü (OCSP) desteğini aşamalı olarak kaldırma zaman çizelgesini resmi olarak duyurdu.
Kâr amacı gütmeyen Sertifika Otoritesi (CA), değişikliğin temel nedenleri olarak gizlilik kaygılarını ve verimlilik kazanımlarını göstererek, 2025 ortasına kadar Sertifika İptal Listelerine (CRL’ler) tamamen geçiş yapmayı planlıyor.
Geçiş İçin Aşamalı Zaman Çizelgesi
Let’s Encrypt, kullanıcılarına bu geçiş sürecinde rehberlik etmek için ayrıntılı bir program yayınladı:
- 30 Ocak 2025: Hesabın uzantıyla birlikte sertifika verme geçmişi olmadığı sürece OCSP Zorunlu Zımba istekleri başarısız olur.
- 7 Mayıs 2025: Sertifikalar artık OCSP URL’lerini içermeyecek ve OCSP Must-Staple uzantısına yönelik tüm istekler başarısız olacak. CRL URL’leri bu tarihten önce sertifikalara eklenecektir.
- 6 Ağustos 2025: Let’s Encrypt, OCSP yanıtlayıcılarını tamamen devre dışı bırakarak OCSP hizmetlerinin sonunu işaretleyecektir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Neden CRL’lere Geçilmeli?
Let’s Encrypt, CRL’lerin OCSP’ye göre önemli avantajlar sağladığını vurguladı. CRL’ler, bireysel IP adreslerini belirli web sitesi ziyaretlerine bağlamadan iptal bilgilerinin dağıtılmasına olanak tanıyarak gizliliği artırır.
Buna karşılık, OCSP sorguları web sitesi ziyaretçilerinin IP adreslerini yanlışlıkla CA’ya ifşa edebilir; bu, CA bu tür verileri saklamasa bile potansiyel bir gizlilik riski oluşturur.
Yasal yükümlülükler CA’ları kullanıcı bilgilerini toplamaya da zorlayabilir ve Let’s Encrypt, CRL’lere yönelerek bu riski azaltmayı amaçlamaktadır.
Kuruluş ayrıca operasyonel faydaları da vurguladı. OCSP altyapısını neredeyse on yıldır çalıştırmak önemli miktarda kaynak tüketti.
CRL’leri benimseyerek altyapısını basitleştirmek Let’s Encrypt’in diğer uyumluluk ve güvenilirlik alanlarına odaklanmasına olanak tanıyacak.
CRL’ler yaygın bir desteğe sahip olduğundan bu hareketin web siteleri ve tarayıcılar üzerinde minimum düzeyde etki yaratması bekleniyor. Ancak, OCSP’ye dayanan tarayıcı olmayan bazı yazılımlar ayarlamalar gerektirebilir.
Let’s Encrypt, geliştiricilere ve yöneticilere, VPN gibi hizmetler için sertifikalarını kullanarak sistemlerini OCSP URL’leri olmadan uyumluluk açısından test etmelerini tavsiye eder.
OCSP’nin kullanımdan kaldırılmasının yanı sıra Let’s Encrypt, OCSP Must-Staple uzantısına yönelik desteği de kullanımdan kaldıracak.
OCSP Zımbalamayı zorunlu kılarak gizliliği ve güvenliği artırmak için tasarlanan bu özellik, hiçbir zaman tarayıcılardan veya web sunucularından geniş bir destek elde edemedi.
Kuruluş, OCSP Must Staple kullanıcılarını, son tarih olan 7 Mayıs 2025’ten önce Otomatik Sertifika Yönetim Ortamı (ACME) istemcilerini yeniden yapılandırmaya çağırıyor.
Bu karar, Let’s Encrypt’in güvenli, gizlilik odaklı ve verimli hizmetler sunma konusundaki kararlılığını yansıtıyor. İnternet geliştikçe OCSP’den uzaklaşması, sertifika yönetimi uygulamalarına yeni bir standart getirmeyi amaçlıyor.
Investigate Real-World Malicious Links,Malware & Phishing Attacks With ANY.RUN - Try for Free