- 19,633
- 44
- 8 Ноя 2022
Молчаливый CRL сменил болтливого OCSP.
Let's Encrypt окончательно Для просмотра ссылки Войдиили Зарегистрируйся сервис OCSP (Online Certificate Status Protocol), заменив его на CRL (Certificate Revocation Lists). Как напомнили в организации, URL-адреса OCSP больше не включались в сертификаты с апреля 2025 года, а срок действия всех старых сертификатов уже истёк.
Основная причина отказа от OCSP — защита конфиденциальности пользователей. При проверке статуса сертификата через OCSP браузер раскрывает Центру сертификации (CA) IP-адрес пользователя и посещаемый сайт. Даже если CA, как Let’s Encrypt, не сохраняет эти данные, их можно случайно зафиксировать или обязать сохранять по закону. CRL работают иначе: они публикуются как список отозванных сертификатов, без обратной связи в момент запроса.
Кроме того, упрощение инфраструктуры — приоритет для Let's Encrypt. Поддержка OCSP на протяжении всех лет работы занимала значительные ресурсы. Переход на CRL снижает нагрузку и повышает устойчивость службы.
Пиковая нагрузка на OCSP-сервисы Let's Encrypt в этом году составляла до 340 миллиардов запросов в месяц — около 140 тысяч в секунду через CDN и 15 тысяч напрямую к серверам. Эту нагрузку помогала выдерживать компания Akamai, предоставлявшая CDN-услуги бесплатно в течение десяти лет.
Let's Encrypt пообещал и дальше развивать открытую и безопасную инфраструктуру для выдачи TLS-сертификатов, делая ставку на простоту, надёжность и минимальные риски для конфиденциальности.
Let's Encrypt окончательно Для просмотра ссылки Войди
Основная причина отказа от OCSP — защита конфиденциальности пользователей. При проверке статуса сертификата через OCSP браузер раскрывает Центру сертификации (CA) IP-адрес пользователя и посещаемый сайт. Даже если CA, как Let’s Encrypt, не сохраняет эти данные, их можно случайно зафиксировать или обязать сохранять по закону. CRL работают иначе: они публикуются как список отозванных сертификатов, без обратной связи в момент запроса.
Кроме того, упрощение инфраструктуры — приоритет для Let's Encrypt. Поддержка OCSP на протяжении всех лет работы занимала значительные ресурсы. Переход на CRL снижает нагрузку и повышает устойчивость службы.
Пиковая нагрузка на OCSP-сервисы Let's Encrypt в этом году составляла до 340 миллиардов запросов в месяц — около 140 тысяч в секунду через CDN и 15 тысяч напрямую к серверам. Эту нагрузку помогала выдерживать компания Akamai, предоставлявшая CDN-услуги бесплатно в течение десяти лет.
Let's Encrypt пообещал и дальше развивать открытую и безопасную инфраструктуру для выдачи TLS-сертификатов, делая ставку на простоту, надёжность и минимальные риски для конфиденциальности.
- Источник новости
- www.securitylab.ru
