后 OCSP 时代,浏览器如何应对证书吊销新挑战
💡
原文中文,约3800字,阅读约需9分钟。
📝
内容提要
2023年8月,CA/Browser Forum决定不再强制要求CA设立OCSP服务器。Let’s Encrypt计划于2025年关闭OCSP服务器,标志着OCSP时代的结束。由于OCSP存在性能和隐私问题,浏览器厂商正在探索替代方案,如Chromium的CRLSets和Firefox的CRLite,以实现本地化验证,提升安全性与隐私保护。
🎯
关键要点
- 2023年8月,CA/Browser Forum决定不再强制要求CA设立OCSP服务器。
- Let’s Encrypt计划于2025年关闭OCSP服务器,标志着OCSP时代的结束。
- OCSP存在性能和隐私问题,浏览器厂商正在探索替代方案。
- OCSP的性能问题在于高并发访问时服务器压力大,可能导致连接中断。
- OCSP的隐私问题在于每次查询都可能泄露用户的访问行为。
- OCSP存在设计上的安全缺陷,攻击者可利用超时机制绕过验证。
- OCSP装订(OCSP stapling)是一种改进方案,但使用不广泛。
- Chromium通过CRLSets方案解决OCSP的隐私和性能问题,采用分层吊销策略。
- Firefox提出CRLite方案,通过数据压缩和本地验证解决吊销问题。
- CRLite能够全面覆盖吊销证书,且不需要向第三方服务器发送请求。
- 随着主要CA关闭OCSP服务,浏览器厂商正在探索更高效的替代方案。
- 未来证书吊销验证将转向本地化验证,减少性能瓶颈和隐私风险。
❓
延伸问答
OCSP时代结束的原因是什么?
OCSP时代结束的原因主要是由于其存在性能和隐私问题,浏览器厂商正在探索更高效的替代方案。
Let’s Encrypt关闭OCSP服务器的时间安排是怎样的?
Let’s Encrypt计划于2025年关闭OCSP服务器,具体安排包括2025年1月30日停止接受新请求,5月7日新证书将不再包含OCSP URLs,8月6日正式关闭OCSP服务器。
Chromium和Firefox在证书吊销验证上有什么不同的方案?
Chromium采用CRLSets方案,通过维护一个精简的吊销列表来提高性能,而Firefox则提出CRLite,通过数据压缩和本地验证实现全面覆盖。
OCSP的隐私问题具体表现在哪些方面?
OCSP的隐私问题在于每次查询都会泄露用户的访问行为,CA可以通过这些信息建立用户的访问习惯画像。
CRLite方案是如何解决证书吊销问题的?
CRLite通过哈希函数和布隆过滤器将吊销证书列表压缩成小巧的格式,允许浏览器本地验证,避免向第三方服务器发送请求。
未来证书吊销验证的趋势是什么?
未来证书吊销验证将转向本地化验证,减少性能瓶颈和隐私风险,形成一个更加多元和分布式的生态系统。
➡️
