聲明：該文章由作者（趙可馨）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

今天Let's Encrypt發(fā)布了一則消息，他們即將終止OCSP（Online Certificate Status Protocol )服務(wù)。

關(guān)于Let's Encrypt，在我寫的書《深入淺出HTTPS》提到過多次，它是全世界最大的免費證書提供機構(gòu)CA。

什么是OCSP呢，它用于實時獲取證書吊銷狀態(tài)，有些情況下證書雖然沒有過期，但可能會被吊銷，有了它，瀏覽器可以實時向CA查詢證書狀態(tài)，也就是說OCSP是一個HTTP服務(wù)。

OCSP有一些弊端，比如瀏覽器每次查詢影響性能（包括對OCSP服務(wù)和瀏覽器），另外也有隱私泄露的風險，因為CA機構(gòu)會知道每個訪問者的IP信息，雖然Let's Encrypt不會這么干。

另外Let's Encrypt要終止OCSP的另外一個原因就是合規(guī)，2023 年 8 月，CA/瀏覽器論壇通過了一項投票，規(guī)定像 Let's Encrypt 這樣的公眾信任 CA 可選擇性提供 OCSP 服務(wù)。

其實OCSP的缺點OCSP stapling都已經(jīng)解決了，還是選擇終止OCSP的原因是OCSP需要占用大量資源。

既然沒有了OCSP服務(wù)，那么有其他替代品嗎？Certificate Revocation Lists (CRLs)是另外一種查詢證書狀態(tài)的服務(wù)，它一般由瀏覽器緩存在本地，無厘頭的是以前CA是不推薦這個服務(wù)的，所以Let's Encrypt 2022年才支持它。

OCSP服務(wù)下線對調(diào)用者影響不大，比如瀏覽器都不用處理，除非你原先自己寫程序其處理它。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/