en el

Σημαντική Ανακοίνωση: Κατάργηση του OCSP για τα Publicly-Trusted Πιστοποιητικά TLS της HARICA

2026-01-29 TLS Certificates OCSP HARICA

Αγαπητοί Συνδρομητές της HARICA,

Από τις 2 Μαρτίου 2026, η HARICA θα καταργήσει επίσημα τη χρήση του πρωτοκόλλου Online Certificate Status Protocol (OCSP) για όλα τα νεοεκδοθέντα publicly-trusted server TLS πιστοποιητικά, με εξαιρέσεις να γίνονται μόνο σε συγκεκριμένες περιπτώσεις, όπου απαιτείται.

Σύμφωνα με τα εξελισσόμενα πρότυπα του κλάδου και τις απαιτήσεις των προγραμμάτων περιήγησης (browsers), τα πιστοποιητικά που εκδίδονται μετά από αυτήν την ημερομηνία δεν θα περιέχουν πλέον, από προεπιλογή, το OCSP responder URL στην επέκταση Authority Information Access (AIA). Αντ’ αυτού, ο έλεγχος ανάκλησης πιστοποιητικών θα γίνεται αποκλειστικά μέσω των Λιστών Ανάκλησης Πιστοποιητικών (Certificate Revocation Lists - CRLs) και των σύγχρονων εγγενών μηχανισμών των browsers.

Γιατί συμβαίνει αυτή η αλλαγή;

Η στροφή ολόκληρου του κλάδου μακριά από το OCSP οφείλεται σε τρεις βασικούς παράγοντες:

1. Ιδιωτικότητα Χρηστών: Τα τυπικά αιτήματα OCSP δεν είναι κρυπτογραφημένα. Όταν ένας browser ελέγχει την κατάσταση ενός πιστοποιητικού μέσω OCSP, ενημερώνει την Αρχή Πιστοποίησης (CA) ποια διεύθυνση IP επισκέπτεται ποιον ιστότοπο. Η κατάργηση του OCSP εξαλείφει αυτή τη διαρροή ιδιωτικότητας, διασφαλίζοντας ότι η HARICA δεν μπορεί να παρακολουθεί τα μοτίβα περιήγησης των χρηστών.

2. Αξιοπιστία και Απόδοση: Οι αναζητήσεις OCSP συχνά προσθέτουν σημαντική καθυστέρηση στο TLS handshake (η λύση “OCSP stapling”, αν και χρήσιμη, δεν εφαρμόζεται καθολικά). Επιπλέον, εάν ένας OCSP responder είναι αργός ή μη προσβάσιμος, μπορεί να προκαλέσει καθυστερήσεις τύπου “soft-fail” ή σφάλματα σύνδεσης “hard-fail”, επηρεάζοντας τη διαθεσιμότητα του ιστότοπου.

3. Σύγχρονα Πρότυπα Ανάκλησης: Browsers όπως οι Apple Safari, Google Chrome και Mozilla Firefox έχουν στραφεί προς πιο αποτελεσματικές μεθόδους ελέγχου ανάκλησης που προστατεύουν την ιδιωτικότητα, όπως τα CRLSets και CRLite. Αυτές οι μέθοδοι βασίζονται στη δημοσίευση συμπιεσμένων CRLs από την CA, αντί για την απάντηση σε μεμονωμένα ερωτήματα OCSP.

Χρονοδιάγραμμα Αλλαγών

  • Σήμερα – 1 Μαρτίου 2026: Δεν απαιτείται άμεση ενέργεια. Η HARICA θα συνεχίσει να υποστηρίζει το OCSP για όλα τα ενεργά πιστοποιητικά.
  • 2 Μαρτίου 2026: Όλα τα νέα πιστοποιητικά TLS που εκδίδονται από τη HARICA θα παραλείπουν την επέκταση OCSP AIA από προεπιλογή. Ορισμένες εξαιρέσεις θα επιτρέπονται κατά περίπτωση.
  • Μετά τις 2 Μαρτίου 2026: Τα υπάρχοντα πιστοποιητικά που εκδόθηκαν πριν από αυτήν την ημερομηνία θα συνεχίσουν να έχουν λειτουργική υποστήριξη OCSP μέχρι τη φυσική τους λήξη. Μέχρι τις 4 Μαΐου 2027, προβλέπεται η πλήρης κατάργηση της δημόσιας υποδομής OCSP για τα πιστοποιητικά TLS.

Πώς θα επηρεάσει στους Συνδρομητές;

Για τη συντριπτική πλειοψηφία των συνδρομητών, δεν απαιτείται καμία ενέργεια. Οι σύγχρονοι web browsers (Chrome, Safari, Firefox και Edge) έχουν ήδη προετοιμαστεί για αυτή τη μετάβαση. Ωστόσο, ένας μικρός αριθμός “legacy” εφαρμογών ή εφαρμογών που δεν είναι browsers, οι οποίες βασίζονται αυστηρά στην παρουσία ενός OCSP URL στο πιστοποιητικό για έλεγχο ανάκλησης τύπου hard-fail, ενδέχεται να αντιμετωπίσουν προβλήματα. Συνιστούμε τα εξής:

  • Έλεγχος Legacy Συστημάτων: Εάν χρησιμοποιείτε εξειδικευμένο hardware ή παλαιότερο λογισμικό που απαιτεί OCSP για mutual TLS (mTLS) ή συγκεκριμένους ελέγχους συμμόρφωσης, βεβαιωθείτε ότι υποστηρίζουν ανάκληση βάσει CRL. Εάν χρησιμοποιείτε legacy συστήματα που βασίζονται αποκλειστικά στο OCSP και δεν μπορούν να επεξεργαστούν CRLs, μπορείτε να επικοινωνήσετε με το τμήμα τεχνικής υποστήριξής μας ώστε να συζητήσετε άλλες διαθέσιμες επιλογές.
  • OCSP Stapling: Εάν χρησιμοποιείτε επί του παρόντος OCSP Stapling στους web servers σας, ο server απλώς θα σταματήσει να επισυνάπτει απάντηση μόλις εγκατασταθεί το νέο πιστοποιητικό (χωρίς OCSP URL). Αυτό δεν θα διακόψει τη σύνδεση στους σύγχρονους browsers.

Η Δέσμευσή μας για την Ασφάλεια

Αυτή η αλλαγή σηματοδοτεί ένα ουσιαστικό βήμα προς ένα ταχύτερο, πιο ιδιωτικό και πιο ανθεκτικό διαδίκτυο. Εκτιμούμε τη συνεχή εμπιστοσύνη σας στη HARICA και παραμένουμε δεσμευμένοι να σας υποστηρίζουμε καθ’ όλη τη διάρκεια αυτής της μετάβασης.

TLS OCSP CRL
en
Πολιτική Εμπιστοσύνη Μεταπωλητές και Συνεργάτες Δήλωση Ιδιωτικότητας Δεδομένων
ΑΚΑΔΗΜΑΪΚΟ ΔΙΑΔΙΚΤΥΟ (GUnet)
ΕΚΠΑ – Κέντρο Λειτουργίας & Διαχείρισης Δικτύου
Πανεπιστημιούπολη Ιλίσια,
15784 Αθήνα, Ελλάδα
support@harica.gr
H HARICA είναι η Υποδομή Δημοσίου Κλειδιού "Hellenic Academic & Research Institutions Certification Authority". Συμμετέχει στα μεγαλύτερα διεθνή "ROOT CA" προγράμματα εμπιστοσύνης, σε Διεθνείς οίκους λογισμικού και Λειτουργικά Συστήματα.
Έχει λάβει Πιστοποιητικό Συμμόρφωσης σύμφωνα με τον Ευρωπαϊκό Κανονισμό 910/2014 (γνωστός ως eIDAS) στο πεδίο "Εγκεκριμένων" Πιστοποιητικών για ηλεκτρονικές υπογραφές/σφραγίδες, για γνησιότητα ιστοτόπων και για "Εγκεκριμένη" χρονοσήμανση.
© 2026 Harica