Let's Encrypt即将终止OCSP服务

今天Let's Encrypt发布了一则消息，他们即将终止OCSP（Online Certificate Status Protocol )服务。

关于Let's Encrypt，在我写的书《深入浅出HTTPS》提到过多次，它是全世界最大的免费证书提供机构CA。

什么是OCSP呢，它用于实时获取证书吊销状态，有些情况下证书虽然没有过期，但可能会被吊销，有了它，浏览器可以实时向CA查询证书状态，也就是说OCSP是一个HTTP服务。

OCSP有一些弊端，比如浏览器每次查询影响性能（包括对OCSP服务和浏览器），另外也有隐私泄露的风险，因为CA机构会知道每个访问者的IP信息，虽然Let's Encrypt不会这么干。

另外Let's Encrypt要终止OCSP的另外一个原因就是合规，2023 年 8 月，CA/浏览器论坛通过了一项投票，规定像 Let's Encrypt 这样的公众信任 CA 可选择性提供 OCSP 服务。

其实OCSP的缺点OCSP stapling都已经解决了，还是选择终止OCSP的原因是OCSP需要占用大量资源。

既然没有了OCSP服务，那么有其他替代品吗？Certificate Revocation Lists (CRLs)是另外一种查询证书状态的服务，它一般由浏览器缓存在本地，无厘头的是以前CA是不推荐这个服务的，所以Let's Encrypt 2022年才支持它。

OCSP服务下线对调用者影响不大，比如浏览器都不用处理，除非你原先自己写程序其处理它。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/