Let's Encrypt-Logo (CC BY-NC 4.0)
Bereits im Juli hatte das Let’s Encrypt-Projekt angekündigt, das Online Certificate Status Protocol (OCSP) nicht mehr einsetzen zu wollen. Jetzt steht fest, dass der Support ab Januar 2025 langsam ausläuft. Anfang August ist dann endgültig Schluss.
Das OCSP hilft beim Widerrufen von Zertifikaten. Dies sollen zukünftig Certificate Revocation Lists (CRLs) übernehmen, die das Let’s Encrypt-Projekt bereits seit 2022 unterstützt. Den Zeitplan für den kompletten Umstieg hat das Let’s Encrypt-Team jetzt vorgestellt.
Demnach schlagen zunächst ab dem 30. Januar 2025 alle OCSP Must-Staple-Anfragen fehl, sofern das entsprechende Konto nicht ein Zertifikat mit der OCSP Must Staple Extension angefordert hat. Parallel fügt das Let’s Encrypt-Projekt bereits CRL URLs zu jedem Zertifikat hinzu. Ab dem 7. Mai entfallen dann die OCSP URLs aus den Zertifikaten, zudem schlagen auch sämtliche OCSP Must-Staple-Anfragen fehl. Ab dem 6. August schaltet das Projekt schließlich das OCSP komplett ab.
Wer einen eigenen Server betreibt und explizit beziehungsweise absichtlich OCSP nutzt, sollte daher schnellstmöglich umsteigen.
Nach Ansicht des Let’s Encrypt-Teams bietet CRL deutliche Vorteile gegenüber dem OCSP. Unter anderem vereinfacht sich die Infrastruktur des Projekts, zudem verbessert sich die Privatsphäre: Kontaktiert ein Browser einen OCSP Responder, erfährt die ihn betreibende Certification Authority die IP-Adresse des Internetnutzers und welche Webseite er ansteuern möchte.
