▲GN⁺ 2024-07-24 | parent | ★ favorite | on: Let's Encrypt - OCSP 서비스 종료 발표 (letsencrypt.org)Hacker News 의견 OCSP Watch를 만든 후, CT 로그에서 인증서를 찾을 때 CA가 인증서를 발급한 사실을 잊어버린 경우가 종종 발견됨 CRL은 모든 발급된 인증서의 상태를 제공하지 않기 때문에 이를 감지할 수 없음 루트 프로그램이 OCSP URL을 인증서에 포함시키는 요구를 제거하고, 모든 발급자의 OCSP URL을 CCADB에 공개하도록 했으면 좋겠음 모든 인증서에 Must Staple 제한을 무조건 추가하는 것이 좋음 이는 프라이버시 문제를 해결하고, 브라우저 이외의 넓은 지원을 허용함 letsencrypt는 20년 전 우리가 상상했던 커뮤니티 중심의 인터넷 인프라임 letsencrypt를 사랑함 Microsoft Root Program이 OCSP를 선택 사항으로 만들면, letsencrypt는 OCSP 서비스를 종료할 계획임 Microsoft가 이 변화를 6~12개월 내에 시행할 것으로 기대함 업데이트를 확인하려면 Discourse의 API Announcements 카테고리를 구독하는 것이 좋음 인증서 관리는 인간 행동과 컴퓨터 과학의 교차점에서 흥미로운 문제임 이론적으로는 간단하지만, 현실에서는 매우 복잡해짐 웹 서버에서 CRL 지원은 어떤지 궁금함 NGINX와 Apache는 OCSP 스테이플링만 지원함 LetsEncrypt를 사용하는 사람들에게 어떤 의미인지 쉽게 설명해줄 수 있는지 궁금함 Nginx나 Caddy 같은 서버를 사용하는 경우 변경이 필요한지 궁금함 Chrome이나 Firefox를 사용하지 않는 경우, 어떻게 인증서 폐기를 확인할 수 있는지 궁금함 이는 웹을 덜 개방적으로 만듦 ACME, DNS-01 챌린지, OCSP를 지원하는 무료 또는 저렴한 인증서 제공자가 있는지 궁금함 ZeroSSL 외에 다른 제공자가 있는지 궁금함 CRL은 확장성이 없고 업데이트에 시간이 오래 걸림 CRL이 기가바이트로 커지는 문제를 해결하기 위해 표준 이진 형식이 없는 이유가 궁금함 쿠쿠 필터나 유사한 데이터 구조를 사용하면 최신 이진 블롭을 자주 가져올 수 있음
Hacker News 의견
OCSP Watch를 만든 후, CT 로그에서 인증서를 찾을 때 CA가 인증서를 발급한 사실을 잊어버린 경우가 종종 발견됨
모든 인증서에 Must Staple 제한을 무조건 추가하는 것이 좋음
letsencrypt는 20년 전 우리가 상상했던 커뮤니티 중심의 인터넷 인프라임
Microsoft Root Program이 OCSP를 선택 사항으로 만들면, letsencrypt는 OCSP 서비스를 종료할 계획임
인증서 관리는 인간 행동과 컴퓨터 과학의 교차점에서 흥미로운 문제임
웹 서버에서 CRL 지원은 어떤지 궁금함
LetsEncrypt를 사용하는 사람들에게 어떤 의미인지 쉽게 설명해줄 수 있는지 궁금함
Chrome이나 Firefox를 사용하지 않는 경우, 어떻게 인증서 폐기를 확인할 수 있는지 궁금함
ACME, DNS-01 챌린지, OCSP를 지원하는 무료 또는 저렴한 인증서 제공자가 있는지 궁금함
CRL은 확장성이 없고 업데이트에 시간이 오래 걸림