OCSP 即在线证书状态协议是用来帮助浏览器识别数字证书是否有效的,现在所有数字证书从颁发到使用都会被记录日志,一旦证书被吊销浏览器也可以通过 OCSP 协议立即识别出来并阻止用户继续访问。
但这个协议存在隐私问题,OCSP 协议都是证书颁发机构 (CA) 搭建的,这意味着用户访问网站时浏览器将要向 OCSP 服务器发出请求,CA 机构就可以收集用户 IP 地址并知道用户何时访问了哪个网站。
尽管 Let’s Encrypt OCSP 服务器不会记录这些敏感信息,但说不好其他 CA 机构会通过这种方式收集用户隐私并以此进行牟利,这是个隐私缺陷。
2022 年 Let’s Encrypt 已经构建了 CRL 证书吊销列表,该协议提供 OCSP 相同的功能但隐私性更好,不会导致用户的 IP 地址和浏览记录被 CA 机构收集,所以现在 Let’s Encrypt 准备弃用 OCSP 协议。
值得注意的是运营 OCSP 协议还需要投入大量资源,因为 Let’s Encrypt 签发的数字证书极其庞大,用户每次访问使用 Let’s Encrypt 证书的网站时都会请求 OCSP 服务器,这会给服务器造成很大的负担。
基于以上原因 Let’s Encrypt 计划在未来 6~12 个月内弃用 OCSP 协议全面转向 CRL 协议,其实现在关停 OCSP 协议也没关系,因为浏览器都已经支持 CRL 协议了。
问题在于微软尚未将 OCSP 设置为可选,当前属于必须支持阶段,这意味着某些使用 Let’s Encrypt 证书的客户端程序在缺乏 OCSP 支持后会停止工作,因此目前最大的问题就是等着微软支持了。
Let’s Encrypt 乐观的预计微软会在未来 6~12 个月内将 OCSP 设置为可选,当然本次发布计划终止 OCSP 协议的博文也就是为了敦促微软赶紧行动,暂时微软还没有发布回应。
相关标签: Let’s、 Encrypt即将终止数字证书OCSP服务、 转向隐私性更好的CRL协议、
本文地址:https://2345book.com/article/481.html
Let’s Encrypt即将终止数字证书OCSP服务 转向隐私性更好的CRL协议
原标题:重庆消防辟谣“网传龙麻子特招入伍”:没接到任何通知9月2日,这两天,不少网友爆料,重庆崽儿龙麻子被特招入伍,随着传言愈演愈烈,昨天,也是媒体致电重庆消防,根据重庆消防回应
天下书盟作家福利是给公司做出贡献的作家和作者提供的福利和报酬!
艺术盆-广东省潮安区皇岛陶瓷厂是一家集设计、研发、生产、销售皇岛高品质卫浴及配套产品为一体的现代化大型陶瓷卫浴洁具企业。皇岛卫浴引领欧尚绿色生活!服务热线:400-7777-011