Let’s Encrypt方案停止数字证书OCSP服务 全面转向隐私性更好的CRL协议
OCSP 即在线证书状况协议是用来协助阅读器辨认数字证书是否有用的,现在一切数字证书从颁布到运用都会被记载日志,一旦证书被撤消阅读器也能够经过 OCSP 协议当即辨认出来并阻挠用户持续拜访。
但这个协议存在隐私问题,OCSP 协议都是证书颁布组织 (CA) 建立的,这意味着用户拜访网站时阅读器将要向 OCSP 服务器宣布恳求,CA 组织就能够搜集用户 IP 地址并知道用户何时拜访了哪个网站。
虽然 Let’s Encrypt OCSP 服务器不会记载这些灵敏信息,但说不好其他 CA 组织会经过这种方法搜集用户隐私并以此进行牟利,这是个隐私缺点。
2022 年 Let’s Encrypt 现已构建了 CRL 证书撤消列表,该协议供给 OCSP 相同的功用但隐私性更好,不会导致用户的 IP 地址和阅读记载被 CA 组织搜集,所以现在 Let’s Encrypt 预备弃用 OCSP 协议。
值得注意的是运营 OCSP 协议还需要投入很多资源,由于 Let’s Encrypt 签发的数字证书极端巨大,用户每次拜访运用 Let’s Encrypt 证书的网站时都会恳求 OCSP 服务器,这会给服务器形成很大的担负。
根据以上原因 Let’s Encrypt 方案在未来 6~12 个月内弃用 OCSP 协议全面转向 CRL 协议,其实现在关停 OCSP 协议也不要紧,由于阅读器都现已支撑 CRL 协议了。
问题在于微软尚未将 OCSP 设置为可选,当时归于有必要支撑阶段,这意味着某些运用 Let’s Encrypt 证书的客户端程序在缺少 OCSP 支撑后会停止工作,因而现在最大的问题便是等着微软支撑了。
Let’s Encrypt 达观的估计微软会在未来 6~12 个月内将 OCSP 设置为可选,当然本次发布方案停止 OCSP 协议的博文也便是为了敦促微软赶忙举动,暂时微软还没有发布回应。
还没有评论,来说两句吧...