Let’s Encrypt宣布OCSP服务中止时间表

Let’s Encrypt 今天宣布了 OCSP 中止服务的时间表。早在 7 月份，Let’s Encrypt 就已经明确即将关闭 OCSP 服务，当时我也发布了《Let's Encrypt，即将终止 OCSP 服务》文章。在我写的书中，也多次提到了 Let's Encrypt，作为全世界最大的免费证书签发机构，它为 HTTPS 的普及和推广做出了很大的贡献。

OCSP 虽然是即将步入历史的一个服务，但我仍然觉得有必要再说一说，也算做个总结。OCSP 简单来说就是一个在线检查证书是否被吊销的服务，但它存在一些问题，首先是隐私问题，会暴露用户 IP 等信息；其次是性能问题，包括对 CA 的负载也非常大。然而，归根到底还是 OCSP 服务的有用性和普及性。

Let’s Encrypt 关闭 OCSP 服务做了三个时间点，在讲之前，先描述一些背景信息，否则可能不知所以然。

针对 OCSP 服务的缺点，Let’s Encrypt 做过两次升级。首先是 OCSP Stapling，它主要是为了减轻客户端请求 OCSP 延迟问题而在服务器端请求 OCSP；其次是 OCSP Must Staple，它是一个证书扩展，如果证书包含了该扩展，而服务器在 TLS 握手过程中没有 OCSP 响应，则握手就直接失败。可以看出，这是为了严格执行 OCSP 的一个手段。

好了，现在说三个时间点：

• • 2025/01/30，不能再申请 OCSP Must Staple 证书扩展。
• • 2025/05/07，给新签发证书添加 CRL URL，且证书中也不包含 OCSP URL。
• • 2025/08/06，关闭 OCSP 服务。

话说，由于大部分浏览器和服务器都没有严格执行 OCSP 服务，所以就算现在关停影响也不大。

从这个事情我们能学到什么？OCSP 最早是为了替代 CRL，现在反过来了，也挺讽刺的。这说明目标是明确的，但方案不现实或者说可行性不高，这样导致推广和普及就很难。没有考虑证书服务的特殊性，一个 Web 应用不可能强制将服务的可用性绑定在一个 CA 机构，需要有更好的手段。比如就像我上次写的文章（《AWS Route 53 新增支持 DNS TLSA 记录，进一步强化 SSL 证书安全性》）一样，AWS Route 53 将证书的公钥签名放在 DNS 记录中，那证书吊销状态是不是也可以放在 DNS 记录中，把操作权放到用户一端？

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/