网络第5域

Let's Encrypt计划终止数字证书OCSP服务 全面转向隐私性更好的CRL协议

字号+作者: 来源:蓝点网 2024-07-24 15:42 评论(创建话题) 收藏成功收藏本文

OCSP即在线证书状态协议是用来帮助浏览器识别数字证书是否有效的,现在所有数字证书从颁发到使用都会被记录日志,一旦证书被吊销浏览器也可以通过OCSP协议'...

OCSP即在线证书状态协议是用来帮助浏览器识别数字证书是否有效的,现在所有数字证书从颁发到使用都会被记录日志,一旦证书被吊销浏览器也可以通过OCSP协议立即识别出来并阻止用户继续访问。5Rb品论天涯网

但这个协议存在隐私问题,OCSP协议都是证书颁发机构(CA)搭建的,这意味着用户访问网站时浏览器将要向OCSP服务器发出请求,CA机构就可以收集用户IP地址并知道用户何时访问了哪个网站。5Rb品论天涯网

5Rb品论天涯网

尽管Let’sEncryptOCSP服务器不会记录这些敏感信息,但说不好其他CA机构会通过这种方式收集用户隐私并以此进行牟利,这是个隐私缺陷。5Rb品论天涯网

2022年Let’sEncrypt已经构建了CRL证书吊销列表,该协议提供OCSP相同的功能但隐私性更好,不会导致用户的IP地址和浏览记录被CA机构收集,所以现在Let’sEncrypt准备弃用OCSP协议。5Rb品论天涯网

值得注意的是运营OCSP协议还需要投入大量资源,因为Let’sEncrypt签发的数字证书极其庞大,用户每次访问使用Let’sEncrypt证书的网站时都会请求OCSP服务器,这会给服务器造成很大的负担。5Rb品论天涯网

基于以上原因Let’sEncrypt计划在未来6~12个月内弃用OCSP协议全面转向CRL协议,其实现在关停OCSP协议也没关系,因为浏览器都已经支持CRL协议了。5Rb品论天涯网

问题在于微软尚未将OCSP设置为可选,当前属于必须支持阶段,这意味着某些使用Let’sEncrypt证书的客户端程序在缺乏OCSP支持后会停止工作,因此目前最大的问题就是等着微软支持了。5Rb品论天涯网

Let’sEncrypt乐观的预计微软会在未来6~12个月内将OCSP设置为可选,当然本次发布计划终止OCSP协议的博文也就是为了敦促微软赶紧行动,暂时微软还没有发布回应。5Rb品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]