Let’s Encrypt 今天宣布了 OCSP 中止服務(wù)的時間表。早在 7 月份，Let’s Encrypt 就已經(jīng)明確即將關(guān)閉 OCSP 服務(wù)，當(dāng)時我也發(fā)布了《Let's Encrypt，即將終止 OCSP 服務(wù)》文章。在我寫的書中，也多次提到了 Let's Encrypt，作為全世界最大的免費證書簽發(fā)機(jī)構(gòu)，它為 HTTPS 的普及和推廣做出了很大的貢獻(xiàn)。

OCSP 雖然是即將步入歷史的一個服務(wù)，但我仍然覺得有必要再說一說，也算做個總結(jié)。OCSP 簡單來說就是一個在線檢查證書是否被吊銷的服務(wù)，但它存在一些問題，首先是隱私問題，會暴露用戶 IP 等信息；其次是性能問題，包括對 CA 的負(fù)載也非常大。然而，歸根到底還是 OCSP 服務(wù)的有用性和普及性。

Let’s Encrypt 關(guān)閉 OCSP 服務(wù)做了三個時間點，在講之前，先描述一些背景信息，否則可能不知所以然。

針對 OCSP 服務(wù)的缺點，Let’s Encrypt 做過兩次升級。首先是 OCSP Stapling，它主要是為了減輕客戶端請求 OCSP 延遲問題而在服務(wù)器端請求 OCSP；其次是 OCSP Must Staple，它是一個證書擴(kuò)展，如果證書包含了該擴(kuò)展，而服務(wù)器在 TLS 握手過程中沒有 OCSP 響應(yīng)，則握手就直接失敗?？梢钥闯?，這是為了嚴(yán)格執(zhí)行 OCSP 的一個手段。

好了，現(xiàn)在說三個時間點：

• ? 2025/01/30，不能再申請 OCSP Must Staple 證書擴(kuò)展。
• ? 2025/05/07，給新簽發(fā)證書添加 CRL URL，且證書中也不包含 OCSP URL。
• ? 2025/08/06，關(guān)閉 OCSP 服務(wù)。

話說，由于大部分瀏覽器和服務(wù)器都沒有嚴(yán)格執(zhí)行 OCSP 服務(wù)，所以就算現(xiàn)在關(guān)停影響也不大。

從這個事情我們能學(xué)到什么？OCSP 最早是為了替代 CRL，現(xiàn)在反過來了，也挺諷刺的。這說明目標(biāo)是明確的，但方案不現(xiàn)實或者說可行性不高，這樣導(dǎo)致推廣和普及就很難。沒有考慮證書服務(wù)的特殊性，一個 Web 應(yīng)用不可能強(qiáng)制將服務(wù)的可用性綁定在一個 CA 機(jī)構(gòu)，需要有更好的手段。比如就像我上次寫的文章（《AWS Route 53 新增支持 DNS TLSA 記錄，進(jìn)一步強(qiáng)化 SSL 證書安全性》）一樣，AWS Route 53 將證書的公鑰簽名放在 DNS 記錄中，那證書吊銷狀態(tài)是不是也可以放在 DNS 記錄中，把操作權(quán)放到用戶一端？

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/