A Let’s Encrypt anunciou que descontinuará o suporte ao protocolo OCSP (Online Certificate Status Protocol) em favor do uso exclusivo de Listas de Revogação de Certificados (CRLs). A transição visa aumentar a confidencialidade dos usuários e simplificar a infraestrutura da autoridade de certificação. As mudanças terão início em 30 de janeiro de 2025, com a negação de certificados com a extensão OCSP Must Staple, exceto para contas já existentes. Até 7 de maio, todas as referências ao CRL serão implementadas, e o suporte ao OCSP será totalmente removido em 6 de agosto.
Leia também
Zero-day do Windows recebe correção não-oficial
Microsoft alerta para risco de hack a clusters Azure Kubernetes
A decisão de substituir o OCSP pelo CRL foi impulsionada pelas vantagens de privacidade e eficiência. O OCSP apresentava riscos de vazamento de dados, como o registro de endereços IP e histórico de sites visitados, mesmo que a autoridade certificadora não armazenasse essas informações intencionalmente. Já o CRL elimina esses riscos, garantindo maior privacidade e dispensando configurações complexas de servidor. Embora a Let’s Encrypt tenha usado o OCSP desde seu lançamento, os custos e esforços para mantê-lo se tornaram insustentáveis, levando à adoção do CRL em 2022.
Outra mudança significativa é o fim da extensão OCSP Must Staple, que, embora tenha contribuído para a privacidade e segurança, enfrentou baixa adoção pelos navegadores e trouxe riscos de tempo de inatividade para servidores. A Let’s Encrypt recomenda que os usuários verifiquem se seus sistemas e softwares operam adequadamente sem suporte ao OCSP. Isso é particularmente relevante para serviços como VPNs e aplicações que dependem de certificados da autoridade.
A transição reflete um movimento estratégico para modernizar a infraestrutura da Let’s Encrypt, com foco em maior privacidade, menor complexidade técnica e alinhamento às tendências do setor. Os usuários podem acessar ferramentas e informações para garantir a conformidade com as mudanças, como arquivos com listas de certificados que utilizam o OCSP Must Staple.