今天Let's Encrypt發(fā)布了一則消息，他們即將終止OCSP（Online Certificate Status Protocol )服務。

關于Let's Encrypt，在我寫的書《深入淺出HTTPS》提到過多次，它是全世界最大的免費證書提供機構CA。

什么是OCSP呢，它用于實時獲取證書吊銷狀態(tài)，有些情況下證書雖然沒有過期，但可能會被吊銷，有了它，瀏覽器可以實時向CA查詢證書狀態(tài)，也就是說OCSP是一個HTTP服務。

OCSP有一些弊端，比如瀏覽器每次查詢影響性能（包括對OCSP服務和瀏覽器），另外也有隱私泄露的風險，因為CA機構會知道每個訪問者的IP信息，雖然Let's Encrypt不會這么干。

另外Let's Encrypt要終止OCSP的另外一個原因就是合規(guī)，2023 年 8 月，CA/瀏覽器論壇通過了一項投票，規(guī)定像 Let's Encrypt 這樣的公眾信任 CA 可選擇性提供 OCSP 服務。

其實OCSP的缺點OCSP stapling都已經解決了，還是選擇終止OCSP的原因是OCSP需要占用大量資源。

既然沒有了OCSP服務，那么有其他替代品嗎？Certificate Revocation Lists (CRLs)是另外一種查詢證書狀態(tài)的服務，它一般由瀏覽器緩存在本地，無厘頭的是以前CA是不推薦這個服務的，所以Let's Encrypt 2022年才支持它。

OCSP服務下線對調用者影響不大，比如瀏覽器都不用處理，除非你原先自己寫程序其處理它。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/