Let’s Encrypt计划终止数字证书OCSP服务 全面转向隐私性更好的CRL协议

在线证书状态协议(OCSP)用于帮助浏览器验证数字证书的有效性,所有数字证书的颁发和使用都会被记录,一旦证书被吊销,浏览器能通过OCSP迅速识别并阻止用户访问。然而,OCSP存在隐私漏洞,因为当用户访问网站时,浏览器会向证书颁发机构(CA)的OCSP服务器发送请求,使CA能够收集用户的IP地址和访问记录。尽管Let’s Encrypt的OCSP服务器不记录这些信息,但其他CA可能利用此方式搜集用户隐私。

为了解决这一问题,Let’s Encrypt已经建立了证书吊销列表(CRL),它提供了与OCSP相同的功能,但更加保护用户隐私,避免了IP地址和浏览记录的泄露。因此,Let’s Encrypt计划在未来6至12个月内弃用OCSP,全面转向CRL。目前,大多数浏览器已支持CRL协议,而OCSP服务的运营也需要大量资源,尤其是对于签发了大量证书的Let’s Encrypt来说,这构成了服务器的沉重负担。

然而,微软尚未将OCSP支持设为可选,导致依赖Let’s Encrypt证书的客户端程序在OCSP支持缺失时可能无法运行。Let’s Encrypt预计微软将在未来6至12个月内调整其政策,并将OCSP设为可选。此次宣布终止OCSP协议的计划,也是为了敦促微软采取行动。目前,微软尚未对此作出回应。Let’s Encrypt宣布,一旦微软不再强制要求实现OCSP,将在3到6个月内关闭其OCSP服务,从而简化其基础架构并保护用户隐私。

【版权声明】:服务器导航网所有内容均来自网络和部分原创,若无意侵犯到您的权利,请及时与联系 QQ 2232175042,将在48小时内删除相关内容!!

给TA服务器
共{{data.count}}人
人已服务器
其它教程

Cloudflare免费SSL域名证书申请教程 CF自签证书支持泛域名

2025-10-10 5:24:29

其它教程

pbootcms最新版本列表页显示问题修复

2025-10-10 5:25:18

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索