本日、オンライン証明書ステータスプロトコル (OCSP) のサポートを、できるだけ早く 証明書失効リスト (CRL) に切り替える意向を発表します。OCSPとCRLはどちらも、CAが証明書の失効情報を伝えるためのメカニズムですが、CRLはOCSPに比べて大きな利点があります。Let's Encryptは、約10年前の開始以来、OCSPレスポンダを提供してきました。2022年にはCRLのサポートを追加しました。

ウェブサイトとその訪問者には、この変更による影響はありませんが、一部のブラウザ以外のソフトウェアには影響がある可能性があります。

OCSPのサポート終了を計画している主な理由は、インターネット上のプライバシーにとって大きなリスクとなるためです。OCSPを介して証明書の失効を確認するブラウザまたはその他のソフトウェアを使用してWebサイトにアクセスすると、OCSPレスポンダを運用している認証局 (CA) は、訪問者の特定のIPアドレスからどのWebサイトにアクセスしているかをすぐに認識します。Let's Encryptのように、CAがこの情報を意図的に保持していない場合でも、CAは法的に情報を収集することを強制される可能性があります。CRLにはこの問題はありません。

また、Let's Encryptのコンプライアンス、信頼性、および効率性を継続するために、CAインフラストラクチャをできるだけシンプルに保つことが重要であるため、この手順を実行しています。私たちは存在してきたすべての年の間、OCSPサービスの運用にかなりのリソースを費やしてきましたが、これらのリソースはすぐに運用の他の側面に費やすことができます。CRLをサポートするようになったため、OCSPサービスは不要になりました。

2023年8月、CA/ブラウザフォーラムは、Let's Encryptのようなパブリックに信頼されているCAにとってOCSPサービスの提供をオプションにするための投票を行いました。Microsoftを除いて、ルートプログラム自体はOCSPを必要としなくなりました。MicrosoftルートプログラムもOCSPをオプションにする予定です。今後6〜12か月以内に実現すると楽観視しており、Let's EncryptはOCSPサービスのシャットダウンに関する具体的なタイムラインを発表する予定です。これらの計画の最新情報を入手するには、DiscourseのAPIアナウンスカテゴリを購読することをお勧めします。

現在OCSPサービスに依存している方は、できるだけ早く依存を解消するプロセスを開始することをお勧めします。Let's Encrypt証明書を使用してVPNなどのブラウザ以外の通信を保護している場合は、証明書にOCSP URLが含まれていない場合でも、ソフトウェアが正しく動作することを確認する必要があります。幸いなことに、ほとんどのOCSP実装は「フェイルオープン」であるため、OCSPレスポンスを取得できないことによってシステムが停止することはありません。

インターネットセキュリティリサーチグループ (ISRG) は、Let's EncryptProssimo、および Divvi Up の親組織です。ISRGは501(c)(3)非営利団体です。私たちの活動を支援したい場合は、参加寄付、または会社にスポンサーになるよう働きかけてください。