# Let's Encrypt - OCSP 서비스 종료 발표

> Clean Markdown view of GeekNews topic #15998. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=15998](https://news.hada.io/topic?id=15998)
- GeekNews Markdown: [https://news.hada.io/topic/15998.md](https://news.hada.io/topic/15998.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-07-24T11:36:51+09:00
- Updated: 2024-07-24T11:36:51+09:00
- Original source: [letsencrypt.org](https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html)
- Points: 5
- Comments: 2

## Topic Body

- Let’s Encrypt는 가능한 한 빨리 OCSP(Online Certificate Status Protocol) 지원을 종료하고 Certificate Revocation Lists (CRLs)로 전환할 계획임  
- OCSP와 CRLs는 모두 인증서 폐기 정보를 전달하는 메커니즘이지만, CRLs가 OCSP보다 많은 장점을 가짐  
- Let’s Encrypt는 10년 전 출시 이후 OCSP 응답자를 제공해왔으며, 2022년에 CRLs 지원을 추가함  
- 웹사이트와 방문자는 이 변경 사항에 영향을 받지 않지만, 일부 비브라우저 소프트웨어는 영향을 받을 수 있음  
  
### OCSP 지원 종료 이유  
- OCSP는 인터넷 프라이버시에 상당한 위험을 초래함  
- OCSP를 통해 인증서 폐기 상태를 확인할 때, 방문자의 특정 IP 주소에서 방문한 웹사이트를 인증 기관(CA)이 즉시 알 수 있음  
- Let’s Encrypt는 이 정보를 의도적으로 보관하지 않지만, 법적으로 수집을 강요받을 수 있음  
- CRLs는 이러한 문제가 없음  
  
### CA 인프라 단순화  
- Let’s Encrypt의 CA 인프라를 가능한 한 단순하게 유지하는 것이 중요함  
- OCSP 서비스 운영은 많은 자원을 소모하며, 이제 CRLs를 지원하므로 OCSP 서비스는 불필요해짐  
  
### CA/Browser Forum의 결정  
- 2023년 8월, CA/Browser Forum은 공개적으로 신뢰할 수 있는 CA가 OCSP 서비스를 선택적으로 제공할 수 있도록 하는 결정을 통과시킴  
- Microsoft를 제외한 대부분의 루트 프로그램은 더 이상 OCSP를 요구하지 않음  
- Microsoft Root Program도 OCSP를 선택 사항으로 만들면, Let’s Encrypt는 OCSP 서비스 종료를 위한 구체적이고 신속한 일정을 발표할 계획임  
  
### OCSP 서비스 의존성 종료 권장  
- 현재 OCSP 서비스에 의존하는 사람들은 가능한 한 빨리 그 의존성을 종료하는 과정을 시작해야 함  
- Let’s Encrypt 인증서를 사용하여 VPN과 같은 비브라우저 통신을 보호하는 경우, 인증서에 OCSP URL이 포함되지 않아도 소프트웨어가 올바르게 작동하는지 확인해야 함  
- 대부분의 OCSP 구현은 "fail open" 방식으로 작동하여 OCSP 응답을 가져올 수 없는 경우 시스템이 중단되지 않음  
  
### GN⁺의 정리  
- Let’s Encrypt가 OCSP 지원을 종료하고 CRLs로 전환하는 이유와 그 중요성을 설명함  
- OCSP가 프라이버시 문제를 초래할 수 있으며, CRLs가 이를 해결할 수 있는 방법을 강조함  
- CA 인프라의 단순화와 자원 절약의 필요성을 언급함  
- CA/Browser Forum의 결정과 Microsoft의 향후 계획에 대한 기대를 나타냄  
- OCSP 서비스에 의존하는 사용자들에게 조언을 제공함

## Comments



### Comment 27520

- Author: mintdevelopers
- Created: 2024-07-24T12:25:45+09:00
- Points: 1

CRLs는 갱신/싱크 속도 이슈가 있고, 크기가 커지면서 탐색 속도에 제한이 생기기도 하는데 이 문제는 어떻게 해결하게 될지 궁금하네요. 다른 인증서 Provider들에 비해 Let’s Encrypt에서 관리하는 인증서의 양이 엄청 많을 것으로 예상되기도 하고요.

### Comment 27517

- Author: neo
- Created: 2024-07-24T11:36:51+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=41046956) 
- OCSP Watch를 만든 후, CT 로그에서 인증서를 찾을 때 CA가 인증서를 발급한 사실을 잊어버린 경우가 종종 발견됨
  - CRL은 모든 발급된 인증서의 상태를 제공하지 않기 때문에 이를 감지할 수 없음
  - 루트 프로그램이 OCSP URL을 인증서에 포함시키는 요구를 제거하고, 모든 발급자의 OCSP URL을 CCADB에 공개하도록 했으면 좋겠음

- 모든 인증서에 Must Staple 제한을 무조건 추가하는 것이 좋음
  - 이는 프라이버시 문제를 해결하고, 브라우저 이외의 넓은 지원을 허용함

- letsencrypt는 20년 전 우리가 상상했던 커뮤니티 중심의 인터넷 인프라임
  - letsencrypt를 사랑함

- Microsoft Root Program이 OCSP를 선택 사항으로 만들면, letsencrypt는 OCSP 서비스를 종료할 계획임
  - Microsoft가 이 변화를 6~12개월 내에 시행할 것으로 기대함
  - 업데이트를 확인하려면 Discourse의 API Announcements 카테고리를 구독하는 것이 좋음

- 인증서 관리는 인간 행동과 컴퓨터 과학의 교차점에서 흥미로운 문제임
  - 이론적으로는 간단하지만, 현실에서는 매우 복잡해짐

- 웹 서버에서 CRL 지원은 어떤지 궁금함
  - NGINX와 Apache는 OCSP 스테이플링만 지원함

- LetsEncrypt를 사용하는 사람들에게 어떤 의미인지 쉽게 설명해줄 수 있는지 궁금함
  - Nginx나 Caddy 같은 서버를 사용하는 경우 변경이 필요한지 궁금함

- Chrome이나 Firefox를 사용하지 않는 경우, 어떻게 인증서 폐기를 확인할 수 있는지 궁금함
  - 이는 웹을 덜 개방적으로 만듦

- ACME, DNS-01 챌린지, OCSP를 지원하는 무료 또는 저렴한 인증서 제공자가 있는지 궁금함
  - ZeroSSL 외에 다른 제공자가 있는지 궁금함

- CRL은 확장성이 없고 업데이트에 시간이 오래 걸림
  - CRL이 기가바이트로 커지는 문제를 해결하기 위해 표준 이진 형식이 없는 이유가 궁금함
  - 쿠쿠 필터나 유사한 데이터 구조를 사용하면 최신 이진 블롭을 자주 가져올 수 있음