Let’s Encrypt计划终止数字证书OCSP服务 全面转向隐私性更好的CRL协议
站长知识
2024-11-10 15:01
71
在线证书状态协议(OCSP)用于帮助浏览器验证数字证书的有效性,所有数字证书的颁发和使用都会被记录,一旦证书被吊销,浏览器能通过OCSP迅速识别并阻止用户访问。然而,OCSP存在隐私漏洞,因为当用户访问网站时,浏览器会向证书颁发机构(CA)的OCSP服务器发送请求,使CA能够收集用户的IP地址和访问记录。尽管Let’s Encrypt的OCSP服务器不记录这些信息,但其他CA可能利用此方式搜集用户隐私。
为了解决这一问题,Let’s Encrypt已经建立了证书吊销列表(CRL),它提供了与OCSP相同的功能,但更加保护用户隐私,避免了IP地址和浏览记录的泄露。因此,Let’s Encrypt计划在未来6至12个月内弃用OCSP,全面转向CRL。目前,大多数浏览器已支持CRL协议,而OCSP服务的运营也需要大量资源,尤其是对于签发了大量证书的Let’s Encrypt来说,这构成了服务器的沉重负担。
然而,微软尚未将OCSP支持设为可选,导致依赖Let’s Encrypt证书的客户端程序在OCSP支持缺失时可能无法运行。Let’s Encrypt预计微软将在未来6至12个月内调整其政策,并将OCSP设为可选。此次宣布终止OCSP协议的计划,也是为了敦促微软采取行动。目前,微软尚未对此作出回应。Let’s Encrypt宣布,一旦微软不再强制要求实现OCSP,将在3到6个月内关闭其OCSP服务,从而简化其基础架构并保护用户隐私。
Label:
- Let's Encrypt
- OCSP
- CRL
- SSL
- HTTP