5P by neo 4달전 | favorite | 댓글 2개
  • Let’s Encrypt는 가능한 한 빨리 OCSP(Online Certificate Status Protocol) 지원을 종료하고 Certificate Revocation Lists (CRLs)로 전환할 계획임
  • OCSP와 CRLs는 모두 인증서 폐기 정보를 전달하는 메커니즘이지만, CRLs가 OCSP보다 많은 장점을 가짐
  • Let’s Encrypt는 10년 전 출시 이후 OCSP 응답자를 제공해왔으며, 2022년에 CRLs 지원을 추가함
  • 웹사이트와 방문자는 이 변경 사항에 영향을 받지 않지만, 일부 비브라우저 소프트웨어는 영향을 받을 수 있음

OCSP 지원 종료 이유

  • OCSP는 인터넷 프라이버시에 상당한 위험을 초래함
  • OCSP를 통해 인증서 폐기 상태를 확인할 때, 방문자의 특정 IP 주소에서 방문한 웹사이트를 인증 기관(CA)이 즉시 알 수 있음
  • Let’s Encrypt는 이 정보를 의도적으로 보관하지 않지만, 법적으로 수집을 강요받을 수 있음
  • CRLs는 이러한 문제가 없음

CA 인프라 단순화

  • Let’s Encrypt의 CA 인프라를 가능한 한 단순하게 유지하는 것이 중요함
  • OCSP 서비스 운영은 많은 자원을 소모하며, 이제 CRLs를 지원하므로 OCSP 서비스는 불필요해짐

CA/Browser Forum의 결정

  • 2023년 8월, CA/Browser Forum은 공개적으로 신뢰할 수 있는 CA가 OCSP 서비스를 선택적으로 제공할 수 있도록 하는 결정을 통과시킴
  • Microsoft를 제외한 대부분의 루트 프로그램은 더 이상 OCSP를 요구하지 않음
  • Microsoft Root Program도 OCSP를 선택 사항으로 만들면, Let’s Encrypt는 OCSP 서비스 종료를 위한 구체적이고 신속한 일정을 발표할 계획임

OCSP 서비스 의존성 종료 권장

  • 현재 OCSP 서비스에 의존하는 사람들은 가능한 한 빨리 그 의존성을 종료하는 과정을 시작해야 함
  • Let’s Encrypt 인증서를 사용하여 VPN과 같은 비브라우저 통신을 보호하는 경우, 인증서에 OCSP URL이 포함되지 않아도 소프트웨어가 올바르게 작동하는지 확인해야 함
  • 대부분의 OCSP 구현은 "fail open" 방식으로 작동하여 OCSP 응답을 가져올 수 없는 경우 시스템이 중단되지 않음

GN⁺의 정리

  • Let’s Encrypt가 OCSP 지원을 종료하고 CRLs로 전환하는 이유와 그 중요성을 설명함
  • OCSP가 프라이버시 문제를 초래할 수 있으며, CRLs가 이를 해결할 수 있는 방법을 강조함
  • CA 인프라의 단순화와 자원 절약의 필요성을 언급함
  • CA/Browser Forum의 결정과 Microsoft의 향후 계획에 대한 기대를 나타냄
  • OCSP 서비스에 의존하는 사용자들에게 조언을 제공함

CRLs는 갱신/싱크 속도 이슈가 있고, 크기가 커지면서 탐색 속도에 제한이 생기기도 하는데 이 문제는 어떻게 해결하게 될지 궁금하네요. 다른 인증서 Provider들에 비해 Let’s Encrypt에서 관리하는 인증서의 양이 엄청 많을 것으로 예상되기도 하고요.

Hacker News 의견
  • OCSP Watch를 만든 후, CT 로그에서 인증서를 찾을 때 CA가 인증서를 발급한 사실을 잊어버린 경우가 종종 발견됨

    • CRL은 모든 발급된 인증서의 상태를 제공하지 않기 때문에 이를 감지할 수 없음
    • 루트 프로그램이 OCSP URL을 인증서에 포함시키는 요구를 제거하고, 모든 발급자의 OCSP URL을 CCADB에 공개하도록 했으면 좋겠음
  • 모든 인증서에 Must Staple 제한을 무조건 추가하는 것이 좋음

    • 이는 프라이버시 문제를 해결하고, 브라우저 이외의 넓은 지원을 허용함
  • letsencrypt는 20년 전 우리가 상상했던 커뮤니티 중심의 인터넷 인프라임

    • letsencrypt를 사랑함
  • Microsoft Root Program이 OCSP를 선택 사항으로 만들면, letsencrypt는 OCSP 서비스를 종료할 계획임

    • Microsoft가 이 변화를 6~12개월 내에 시행할 것으로 기대함
    • 업데이트를 확인하려면 Discourse의 API Announcements 카테고리를 구독하는 것이 좋음
  • 인증서 관리는 인간 행동과 컴퓨터 과학의 교차점에서 흥미로운 문제임

    • 이론적으로는 간단하지만, 현실에서는 매우 복잡해짐
  • 웹 서버에서 CRL 지원은 어떤지 궁금함

    • NGINX와 Apache는 OCSP 스테이플링만 지원함
  • LetsEncrypt를 사용하는 사람들에게 어떤 의미인지 쉽게 설명해줄 수 있는지 궁금함

    • Nginx나 Caddy 같은 서버를 사용하는 경우 변경이 필요한지 궁금함
  • Chrome이나 Firefox를 사용하지 않는 경우, 어떻게 인증서 폐기를 확인할 수 있는지 궁금함

    • 이는 웹을 덜 개방적으로 만듦
  • ACME, DNS-01 챌린지, OCSP를 지원하는 무료 또는 저렴한 인증서 제공자가 있는지 궁금함

    • ZeroSSL 외에 다른 제공자가 있는지 궁금함
  • CRL은 확장성이 없고 업데이트에 시간이 오래 걸림

    • CRL이 기가바이트로 커지는 문제를 해결하기 위해 표준 이진 형식이 없는 이유가 궁금함
    • 쿠쿠 필터나 유사한 데이터 구조를 사용하면 최신 이진 블롭을 자주 가져올 수 있음