今天,我们宣布我们打算尽快结束对 在线证书状态协议 (OCSP) 的支持,转而支持 证书吊销列表 (CRL)。OCSP 和 CRL 都是 CA 用于传达证书吊销信息的机制,但 CRL 相比 OCSP 具有显著优势。Let's Encrypt 自近十年前启动以来一直提供 OCSP 响应器。我们在 2022 年添加了对 CRL 的支持。

网站和访问网站的人员不会受到此更改的影响,但一些非浏览器软件可能会受到影响。

我们计划结束对 OCSP 的支持,主要原因是它对互联网隐私构成重大风险。当有人通过使用浏览器或其他通过 OCSP 检查证书吊销的软件访问网站时,运营 OCSP 响应器的证书颁发机构 (CA) 会立即获知该访客的特定 IP 地址访问了哪个网站。即使 CA 故意不保留此信息,如 Let's Encrypt 的情况,CA 也可能在法律上被要求收集此信息。CRL 没有这个问题。

我们还采取此措施是因为保持我们的 CA 基础设施尽可能简单对于 Let's Encrypt 的合规性、可靠性和效率的持续性至关重要。在我们存在的所有年份中,运营 OCSP 服务一直占用大量资源,这些资源很快就可以更好地用于我们运营的其他方面。现在我们支持 CRL,我们的 OCSP 服务已变得不再必要。

2023 年 8 月,CA/浏览器论坛 通过了 一项投票,使像 Let's Encrypt 这样的公共信任 CA 可选择提供 OCSP 服务。除微软外,根程序本身不再要求使用 OCSP。一旦 微软根程序 也使 OCSP 成为可选,我们乐观地认为这将在未来六到十二个月内发生,Let's Encrypt 准备宣布关闭我们的 OCSP 服务的具体和快速时间表。我们希望在该公告发布后三到六个月内完成我们最后一次 OCSP 响应。了解这些计划最新进展的最佳方式是 订阅 Discourse 上的 API 公告 类别。

我们建议所有目前依赖 OCSP 服务的人尽快开始结束这种依赖。如果您使用 Let's Encrypt 证书来保护非浏览器通信(如 VPN),则应确保您的软件在证书不包含 OCSP URL 时也能正常运行。幸运的是,大多数 OCSP 实现都是“故障开放”的,这意味着无法获取 OCSP 响应不会中断系统。

互联网安全研究小组 (ISRG)Let's EncryptProssimoDivvi Up 的母组织。ISRG 是一个 501(c)(3) 非营利组织。如果您想支持我们的工作,请考虑 参与捐赠,或鼓励您的公司 成为赞助商