Let's Encrypt 宣布将在未来 6-12 个月内弃用 OCSP 协议，转而使用更注重隐私的 CRL 协议。OCSP 协议存在隐私问题，它会将用户的 IP 地址和浏览记录泄露给 CA 机构。而 CRL 协议能够提供相同的证书吊销功能，但不会泄露用户隐私。Let's Encrypt 此举是为了保护用户隐私，并减轻 OCSP 服务器的负担，因为 Let's Encrypt 签发的数字证书数量庞大，频繁的 OCSP 请求会给服务器带来压力。

🤔 **OCSP 协议的隐私问题**：OCSP 协议会将用户的 IP 地址和浏览记录泄露给 CA 机构，存在隐私风险。 Let's Encrypt 虽然承诺不会记录用户的敏感信息，但其他 CA 机构可能利用这种方式收集用户隐私并进行牟利。 例如，当用户访问使用 Let's Encrypt 证书的网站时，浏览器会向 OCSP 服务器发出请求，而 CA 机构可以通过这个请求获取用户的 IP 地址和访问时间，进而了解用户访问了哪些网站。

💡 **CRL 协议的优势**：CRL 协议提供与 OCSP 相同的证书吊销功能，但不会泄露用户隐私。 CRL 协议是证书吊销列表 (Certificate Revocation List)，它是一个包含所有被吊销证书的列表。浏览器可以根据 CRL 列表判断证书是否有效，而无需向 OCSP 服务器发送请求。 由于 CRL 协议不需要向服务器发送请求，因此不会泄露用户的 IP 地址和访问记录，能够更好地保护用户隐私。

⏳ **微软的延迟问题**：微软尚未将 OCSP 设置为可选，这意味着某些使用 Let's Encrypt 证书的客户端程序在缺乏 OCSP 支持后会停止工作。 Let's Encrypt 希望微软能在未来 6-12 个月内将 OCSP 设置为可选，以便顺利过渡到 CRL 协议。 目前，Let's Encrypt 已经发布了博文敦促微软尽快采取行动，但微软尚未对此做出回应。

💪 **Let's Encrypt 的积极行动**：Let's Encrypt 正在积极推动弃用 OCSP 协议，并转向更注重隐私的 CRL 协议，以保护用户隐私和减轻 OCSP 服务器的负担。 Let's Encrypt 的这一举措值得称赞，它体现了对用户隐私和安全的高度重视。相信随着 CRL 协议的推广应用，用户隐私将得到更好的保护。

🚀 **未来展望**：未来，CRL 协议有望成为主流的证书吊销协议，为用户提供更安全、更私密的网络体验。 随着更多 CA 机构和浏览器支持 CRL 协议，OCSP 协议将逐渐被淘汰。这将是互联网安全领域的一大进步，将为用户带来更安全、更私密的网络环境。

OCSP 即在线证书状态协议是用来帮助浏览器识别数字证书是否有效的，现在所有数字证书从颁发到使用都会被记录日志，一旦证书被吊销浏览器也可以通过 OCSP 协议立即识别出来并阻止用户继续访问。

但这个协议存在隐私问题，OCSP 协议都是证书颁发机构 (CA) 搭建的，这意味着用户访问网站时浏览器将要向 OCSP 服务器发出请求，CA 机构就可以收集用户 IP 地址并知道用户何时访问了哪个网站。

尽管 Let’s Encrypt OCSP 服务器不会记录这些敏感信息，但说不好其他 CA 机构会通过这种方式收集用户隐私并以此进行牟利，这是个隐私缺陷。

2022 年 Let’s Encrypt 已经构建了 CRL 证书吊销列表，该协议提供 OCSP 相同的功能但隐私性更好，不会导致用户的 IP 地址和浏览记录被 CA 机构收集，所以现在 Let’s Encrypt 准备弃用 OCSP 协议。

值得注意的是运营 OCSP 协议还需要投入大量资源，因为 Let’s Encrypt 签发的数字证书极其庞大，用户每次访问使用 Let’s Encrypt 证书的网站时都会请求 OCSP 服务器，这会给服务器造成很大的负担。

基于以上原因 Let’s Encrypt 计划在未来 6~12 个月内弃用 OCSP 协议全面转向 CRL 协议，其实现在关停 OCSP 协议也没关系，因为浏览器都已经支持 CRL 协议了。

问题在于微软尚未将 OCSP 设置为可选，当前属于必须支持阶段，这意味着某些使用 Let’s Encrypt 证书的客户端程序在缺乏 OCSP 支持后会停止工作，因此目前最大的问题就是等着微软支持了。

Let’s Encrypt 乐观的预计微软会在未来 6~12 个月内将 OCSP 设置为可选，当然本次发布计划终止 OCSP 协议的博文也就是为了敦促微软赶紧行动，暂时微软还没有发布回应。