Let's Encrypt 宣布出于隐私和资源问题,逐步放弃 OCSP 服务。
https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html
有两种方式可以向证书的颁发机构查询证书的有效性:
1. OCSP(Online Certificate Status Protocol): 客户端向机构发送证书的序列号,机构返回证书的有效性
2. CRL(Certificate Revocation List): 机构定期发布证书吊销列表,客户端下载列表,自行查询证书的有效性
CRL 的问题是文件比较大,冗余比较多,但是隐私性好,而且机构通过 CDN 发布 CRL 文件的成本也很低。OCSP 按需查询,简单方便,但是查询时会泄露用户的 IP 地址和想要访问的域名,而且机构需要维护成本较高的 OCSP 服务器。
但我觉得这么做有点粗暴了,OCSP 的隐私暴露面和 DNS 服务器一样,Cloudflare 能提出 ODoH 这样的解决方案,为什么 CA 不能考虑一个类似的方案?或者基于隐私计算的匿踪查询(PSI, Private set intersection)也能做嘛。
https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html
有两种方式可以向证书的颁发机构查询证书的有效性:
1. OCSP(Online Certificate Status Protocol): 客户端向机构发送证书的序列号,机构返回证书的有效性
2. CRL(Certificate Revocation List): 机构定期发布证书吊销列表,客户端下载列表,自行查询证书的有效性
CRL 的问题是文件比较大,冗余比较多,但是隐私性好,而且机构通过 CDN 发布 CRL 文件的成本也很低。OCSP 按需查询,简单方便,但是查询时会泄露用户的 IP 地址和想要访问的域名,而且机构需要维护成本较高的 OCSP 服务器。
但我觉得这么做有点粗暴了,OCSP 的隐私暴露面和 DNS 服务器一样,Cloudflare 能提出 ODoH 这样的解决方案,为什么 CA 不能考虑一个类似的方案?或者基于隐私计算的匿踪查询(PSI, Private set intersection)也能做嘛。