Let's Encrypt 宣布计划尽快终止在线证书状态协议 (OCSP) 支持,转而支持证书吊销列表 (CRL)。
在线证书状态协议(OCSP)用于帮助浏览器验证数字证书的有效性,所有数字证书的颁发和使用都会被记录,一旦证书被吊销,浏览器能通过OCSP迅速识别并阻止用户访问。然而,OCSP存在隐私漏洞,因为当用户访问网站时,浏览器会向证书颁发机构(CA)的OCSP服务器发送请求,使CA能够收集用户的IP地址和访问记录。尽管Let’s Encrypt的OCSP服务器不记录这些信息,但其他CA可能利用此方式搜集用户隐私。
为了解决这一问题,Let’s Encrypt已经建立了证书吊销列表(CRL),它提供了与OCSP相同的功能,但更加保护用户隐私,避免了IP地址和浏览记录的泄露。因此,Let’s Encrypt计划在未来6至12个月内弃用OCSP,全面转向CRL。目前,大多数浏览器已支持CRL协议,而OCSP服务的运营也需要大量资源,尤其是对于签发了大量证书的Let’s Encrypt来说,这构成了服务器的沉重负担。
然而,微软尚未将OCSP支持设为可选,导致依赖Let’s Encrypt证书的客户端程序在OCSP支持缺失时可能无法运行。Let’s Encrypt预计微软将在未来6至12个月内调整其政策,并将OCSP设为可选。此次宣布终止OCSP协议的计划,也是为了敦促微软采取行动。目前,微软尚未对此作出回应。Let’s Encrypt宣布,一旦微软不再强制要求实现OCSP,将在3到6个月内关闭其OCSP服务,从而简化其基础架构并保护用户隐私。
推荐便宜SSL证书:点我进入