Aujourd’hui, nous annonçons notre intention de cesser le support du protocole de statut de certificat en ligne (OCSP) au profit des listes de révocation de certificats (CRLs) dans les plus brefs délais. Bien que l’OCSP et les CRLs soient tous deux des méthodes permettant aux autorités de certification (CA) de communiquer des informations sur la révocation des certificats, les CRLs présentent des avantages notables par rapport à l’OCSP. Let’s Encrypt a mis en place un répondant OCSP depuis notre lancement il y a près de dix ans, et nous avons ajouté le support des CRLs en 2022.
Cette transition n’affectera pas les sites web ni les utilisateurs qui les visitent, mais certains logiciels non liés aux navigateurs pourraient être impactés.
La principale raison de notre décision de mettre fin au support de l’OCSP est qu’il représente un risque considérable pour la vie privée sur Internet. Lorsqu’un utilisateur accède à un site web via un navigateur ou un autre logiciel qui vérifie la révocation des certificats par le biais de l’OCSP, l’autorité de certification qui gère le répondant OCSP est immédiatement informée du site visité, ainsi que de l’adresse IP de l’utilisateur. Même si une CA, comme Let’s Encrypt, ne conserve pas intentionnellement ces informations, elle pourrait être légalement contrainte de le faire. Les CRLs ne présentent pas ce problème.
Nous prenons également cette mesure car il est essentiel de maintenir notre infrastructure CA aussi simple que possible pour garantir la continuité de la conformité, de la fiabilité et de l’efficacité chez Let’s Encrypt. Depuis notre création, l’exploitation des services OCSP a mobilisé des ressources considérables qui pourraient désormais être mieux utilisées dans d’autres domaines de nos opérations. Avec le soutien des CRLs, notre service OCSP est devenu superflu.
En août 2023, le CA/Browser Forum a adopté un vote rendant optionnel le service OCSP pour les CA de confiance publique comme Let’s Encrypt. À l’exception de Microsoft, les programmes racines ne nécessitent plus l’OCSP. Dès que le programme racine de Microsoft rendra également l’OCSP optionnel, ce que nous espérons se produire dans les six à douze mois à venir, Let’s Encrypt annoncera un calendrier précis et rapide pour la fermeture de nos services OCSP. Nous prévoyons de fournir notre dernière réponse OCSP entre trois et six mois après cette annonce. Pour rester informé des mises à jour concernant ces projets, nous vous conseillons de vous abonner à notre catégorie d’annonces API sur Discourse.
Nous recommandons à tous ceux qui dépendent actuellement des services OCSP de commencer à réduire cette dépendance dès que possible. Si vous utilisez des certificats Let’s Encrypt pour sécuriser des communications non liées aux navigateurs, comme un VPN, assurez-vous que votre logiciel fonctionne correctement même si les certificats ne contiennent pas d’URL OCSP. Heureusement, la plupart des implémentations OCSP sont conçues pour »échouer en mode ouvert », ce qui signifie qu’une incapacité à récupérer une réponse OCSP ne perturbera pas le système.
Le groupe de recherche sur la sécurité Internet (ISRG) est l’organisation mère de Let’s Encrypt, Prossimo et Divvi Up. ISRG est une organisation à but non lucratif 501(c)(3). Si vous souhaitez soutenir notre travail, envisagez de vous impliquer, de faire un don ou d’encourager votre entreprise à devenir sponsor.
