Let’s Encrypt方案停止数字证书OCSP服务 全面转向隐私性更好的CRL协议

OCSP 即在线证书状况协议是用来协助阅读器辨认数字证书是否有用的，现在一切数字证书从颁布到运用都会被记载日志，一旦证书被撤消阅读器也能够经过 OCSP 协议当即辨认出来并阻挠用户持续拜访。

但这个协议存在隐私问题，OCSP 协议都是证书颁布组织 (CA) 建立的，这意味着用户拜访网站时阅读器将要向 OCSP 服务器宣布恳求，CA 组织就能够搜集用户 IP 地址并知道用户何时拜访了哪个网站。

虽然 Let’s Encrypt OCSP 服务器不会记载这些灵敏信息，但说不好其他 CA 组织会经过这种方法搜集用户隐私并以此进行牟利，这是个隐私缺点。

2022 年 Let’s Encrypt 现已构建了 CRL 证书撤消列表，该协议供给 OCSP 相同的功用但隐私性更好，不会导致用户的 IP 地址和阅读记载被 CA 组织搜集，所以现在 Let’s Encrypt 预备弃用 OCSP 协议。

值得注意的是运营 OCSP 协议还需要投入很多资源，由于 Let’s Encrypt 签发的数字证书极端巨大，用户每次拜访运用 Let’s Encrypt 证书的网站时都会恳求 OCSP 服务器，这会给服务器形成很大的担负。

根据以上原因 Let’s Encrypt 方案在未来 6~12 个月内弃用 OCSP 协议全面转向 CRL 协议，其实现在关停 OCSP 协议也不要紧，由于阅读器都现已支撑 CRL 协议了。

问题在于微软尚未将 OCSP 设置为可选，当时归于有必要支撑阶段，这意味着某些运用 Let’s Encrypt 证书的客户端程序在缺少 OCSP 支撑后会停止工作，因而现在最大的问题便是等着微软支撑了。

Let’s Encrypt 达观的估计微软会在未来 6~12 个月内将 OCSP 设置为可选，当然本次发布方案停止 OCSP 协议的博文也便是为了敦促微软赶忙举动，暂时微软还没有发布回应。