今天,我們宣布有意停止支援線上憑證狀態協議 (OCSP),並盡快改用憑證撤銷列表 (CRL)。OCSP 和 CRL 都是 CA 可以用來傳達憑證撤銷資訊的機制,但 CRL 相較於 OCSP 有顯著的優勢。Let's Encrypt 自將近十年前推出以來,一直有提供 OCSP 回應器。我們在 2022 年新增了對 CRL 的支援。

網站和造訪網站的人不會受到此變更的影響,但某些非瀏覽器軟體可能會受到影響。

我們計畫停止支援 OCSP 的主要原因在於,它對網路上的隱私構成相當大的風險。當有人使用瀏覽器或其他軟體造訪網站,透過 OCSP 檢查憑證是否已撤銷時,操作 OCSP 回應器的憑證授權單位 (CA) 會立即知道哪個網站正從該訪客的特定 IP 位址被造訪。即使 CA 有意不保留此資訊 (如同 Let's Encrypt 的情況),CA 仍可能被法律強制要求收集這些資訊。CRL 沒有這個問題。

我們也採取此步驟,因為讓我們的 CA 基礎架構盡可能簡單,對於 Let's Encrypt 在合規性、可靠性和效率方面的持續性至關重要。在我們存在的每一年,操作 OCSP 服務都佔用了相當多的資源,這些資源很快就可以更好地用於我們營運的其他方面。既然我們現在支援 CRL,我們的 OCSP 服務就變得不必要了。

在 2023 年 8 月,CA/瀏覽器論壇通過了一項投票,讓提供 OCSP 服務對於像 Let's Encrypt 這樣公開信任的 CA 來說成為可選的。除了一個例外,即 Microsoft 之外,根程式本身不再要求 OCSP。一旦Microsoft 根程式也將 OCSP 設定為可選的 (我們樂觀地認為這將在未來六到十二個月內發生),Let's Encrypt 打算宣布一個明確且快速的時程表,來關閉我們的 OCSP 服務。我們希望在那次公告之後的三到六個月內提供我們的最後一次 OCSP 回應。要隨時掌握這些計畫的最新資訊,最好的方法是訂閱我們在 Discourse 上的 API 公告類別。

我們建議今天任何依賴 OCSP 服務的人,盡快開始終止這種依賴的流程。如果您使用 Let's Encrypt 憑證來保護非瀏覽器的通訊 (例如 VPN),您應該確保您的軟體在憑證不包含 OCSP URL 的情況下也能正常運作。幸運的是,大多數 OCSP 實作都會「失敗開啟」,這表示無法擷取 OCSP 回應不會破壞系統。

網際網路安全研究組 (ISRG)Let's EncryptProssimoDivvi Up 的母組織。ISRG 是一個 501(c)(3) 非營利組織。如果您想支持我們的工作,請考慮參與其中捐款,或鼓勵您的公司成為贊助者