A Let’s Encrypt, uma das principais autoridades certificadoras (AC) do mundo, anunciou a descontinuação do uso do protocolo Online Certificate Status Protocol (OCSP) em seus certificados digitais.
Por Marcio D’Avila
O anúncio não é nenhuma surpresa; pois a Let’s Encrypt já havia anunciado, em julho de 2024, o fim do uso do protocolo OCSP, mas ainda não havia apresentado um cronograma para esta descontinuação.
No ano passado, o CA/Browser Forum rebaixou o OCSP para um serviço opcional e tornou as CRLs um mecanismo obrigatório; e a dois anos atrás a Apple e a Mozilla já haviam feito campanha pelo retorno das LCRs/CRLs.
Um dos motivos de não utilizar mais este protocolo é que ele tem problemas de privacidade e proteção de dados.
Foi verificado que este protocolo apresenta riscos de vazamento de dados, como o registro de endereços IP e histórico de sites visitados, mesmo que a autoridade certificadora não armazenasse essas informações intencionalmente. Com estas informações é possível registrar o comportamento de navegação com bastante precisão.
Uma alternativa é o protocolo chamado “OCSP Stapling” que corrige os problemas de desempenho e privacidade associados ao OCSP. No OCSP Stapling, o servidor inclui uma resposta OCSP atual para o certificado incluído (ou “grampeado”) na conexão HTTPS inicial (durante o handshake SSL/TLS). Isso elimina a necessidade de o navegador solicitar a resposta OCSP.
Entretanto nem todos os servidores suportam OCSP Stapling, o que está dificultando a sua adoção.
A partir de 7 de maio de 2025, todos os certificados emitidos pela Let’s Encrypt possuirão apenas o endereço para a lista de certificados revogados (LCR/CRL). Novas solicitações de certificados que contenham extensões OCSP também serão rejeitadas. Os servidores de resposta OCSP ficarão offline em 6 de agosto de 2025.
Para administradores de sistemas e desenvolvedores de software que utilizam certificados SSL/TLS da Let’s Encrypt, a recomendação é que verifiquem seus sistemas e garantam que operam adequadamente sem suporte ao OCSP.
Vale ressaltar que neste momento somente a Let’s Encrypt está descontinuando o uso do protocolo OCSP. As demais Autoridades Certificadoras Internacionais ainda não se manifestaram.
Entenda o Cronograma
- 30 de janeiro de 2025
- As solicitações de certificados com a extensão “OCSP Must-Staple” falharão, a menos que a conta solicitante já tenha emitido um certificado com essa extensão.
- 7 de maio de 2025
- URLs CRL serão adicionadas aos certificados.
- URLs OCSP serão removidas dos certificados.
- Todas as novas solicitações de certificados com a extensão “OCSP Must-Staple” falharão.
- 6 de agosto de 2025
- Os servidores de resposta OCSP da Let’s Encrypt serão desativados completamente.
Impacto da mudança em softwares que não sejam navegadores
- Softwares que não sejam navegadores e que dependam da verificação de revogação via OCSP podem ser afetados pela mudança. É importante garantir que esses softwares funcionem corretamente sem o suporte ao OCSP.
Recomendações para usuários que dependem do OCSP
- Usuários que confiam em serviços OCSP devem iniciar o processo de migração para CRLs o mais rápido possível.
- Desenvolvedores de softwares que utilizam certificados Let’s Encrypt devem garantir que seus softwares operem corretamente sem o suporte ao OCSP.
Detalhes sobre o OCSP Must-Staple e sua remoção
A partir de 30 de janeiro de 2025, as solicitações de certificados com OCSP Must-Staple começarão a ser rejeitadas. A partir de 7 de maio de 2025, todas as solicitações com essa extensão serão rejeitadas.
O OCSP Must-Staple é uma extensão de certificado que força os navegadores a obterem informações de revogação via OCSP Stapling, melhorando a privacidade e a segurança.
Apesar dos benefícios, o OCSP Must-Staple não obteve amplo suporte em navegadores e servidores web, o que levou à sua remoção.
Let’s Encrypt: Let’s Encrypt é uma autoridade de certificação gratuita, automatizada e aberta, trazida a você pelo Internet Security Research Group (ISRG) sem fins lucrativos
Sobre o autor
Márcio D’Ávila é Consultor técnico sênior com vasta experiência em projetos de identidade digital, segurança da informação e proteção de dados. Possui profundo conhecimento em criptografia, TLS, HSM e certificação digital, incluindo a implementação de PKI’s e o cumprimento de normas e regulamentações. Com mais de 19 anos de experiência como instrutor em programas de treinamento. Márcio D’Ávila é especialista em regras, normas e melhores práticas para a utilização de tecnologias de segurança. Atuou como instrutor oficial da EXIN para as certificações EXIN Certified Data Protection Officer (DPO) e EXIN Certified Information Security Officer (CISO).
Participou ativamente de projetos pioneiros em certificação digital no Brasil, como projetos ICP-Brasil, SPB e COMPE por Imagem. Possui experiência em colaboração com empresas internacionais como Verisign, Symantec e Digicert em projetos de PKI e TLS.
Márcio D’Ávila é um profissional com expertise comprovada no desenvolvimento de produtos de tecnologia, abrangendo todo o ciclo de vida, desde a concepção até a implementação e treinamento. Atualmente é Diretor da Resilience Academy & Trainingcolabora e colabora com conteúdos para o Crypto ID.
Computação quântica na nuvem: como fica a segurança digital?
ICP-Brasil interrompe emissão de certificados digitais SSL/TLS para websites
GMO GlobalSign inclui suporte ACME para emissão de certificados de domínio interno
Google Desconfia de Certificados Digitais TLS da Entrust
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.
Ao anunciar no CRYPTO ID, sua organização contribui para a divulgação de inovações tecnológicas que visam agregar segurança ao relacionamento entre empresas e indivíduos no ambiente eletrônico para possibilitar transações eletrônicas seguras e confiáveis em ambientes públicos e privados.
By advertising with CRYPTO ID, your organization contributes to the dissemination of technological innovations that enable secure and reliable electronic transactions between businesses and individuals.
Fale com a gente: +55 11 3881-0053 ou contato@cryptoid.com.br