聲明：該文章由作者（桃乃沐香奈）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

Let’s Encrypt 今天宣布了 OCSP 中止服務的時間表。早在 7 月份，Let’s Encrypt 就已經(jīng)明確即將關閉 OCSP 服務，當時我也發(fā)布了《Let's Encrypt，即將終止 OCSP 服務》文章。在我寫的書中，也多次提到了 Let's Encrypt，作為全世界最大的免費證書簽發(fā)機構(gòu)，它為 HTTPS 的普及和推廣做出了很大的貢獻。

OCSP 雖然是即將步入歷史的一個服務，但我仍然覺得有必要再說一說，也算做個總結(jié)。OCSP 簡單來說就是一個在線檢查證書是否被吊銷的服務，但它存在一些問題，首先是隱私問題，會暴露用戶 IP 等信息；其次是性能問題，包括對 CA 的負載也非常大。然而，歸根到底還是 OCSP 服務的有用性和普及性。

Let’s Encrypt 關閉 OCSP 服務做了三個時間點，在講之前，先描述一些背景信息，否則可能不知所以然。

針對 OCSP 服務的缺點，Let’s Encrypt 做過兩次升級。首先是 OCSP Stapling，它主要是為了減輕客戶端請求 OCSP 延遲問題而在服務器端請求 OCSP；其次是 OCSP Must Staple，它是一個證書擴展，如果證書包含了該擴展，而服務器在 TLS 握手過程中沒有 OCSP 響應，則握手就直接失敗?？梢钥闯?，這是為了嚴格執(zhí)行 OCSP 的一個手段。

好了，現(xiàn)在說三個時間點：

• ? 2025/01/30，不能再申請 OCSP Must Staple 證書擴展。
• ? 2025/05/07，給新簽發(fā)證書添加 CRL URL，且證書中也不包含 OCSP URL。
• ? 2025/08/06，關閉 OCSP 服務。

話說，由于大部分瀏覽器和服務器都沒有嚴格執(zhí)行 OCSP 服務，所以就算現(xiàn)在關停影響也不大。

從這個事情我們能學到什么？OCSP 最早是為了替代 CRL，現(xiàn)在反過來了，也挺諷刺的。這說明目標是明確的，但方案不現(xiàn)實或者說可行性不高，這樣導致推廣和普及就很難。沒有考慮證書服務的特殊性，一個 Web 應用不可能強制將服務的可用性綁定在一個 CA 機構(gòu)，需要有更好的手段。比如就像我上次寫的文章（《AWS Route 53 新增支持 DNS TLSA 記錄，進一步強化 SSL 證書安全性》）一樣，AWS Route 53 將證書的公鑰簽名放在 DNS 記錄中，那證書吊銷狀態(tài)是不是也可以放在 DNS 記錄中，把操作權(quán)放到用戶一端？

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/