小红花·文摘

2023年8月，CA/Browser Forum决定不再强制要求CA设立OCSP服务器。Let’s Encrypt计划于2025年关闭OCSP服务器，标志着OCSP时代的结束。由于OCSP存在性能和隐私问题，浏览器厂商正在探索替代方案，如Chromium的CRLSets和Firefox的CRLite，以实现本地化验证，提升安全性与隐私保护。

后 OCSP 时代，浏览器如何应对证书吊销新挑战

竹林里有冰的博客 ·

火狐浏览器部署CRLite证书吊销检查机制每次访问网站时不再询问OCSP以保护用户隐私

蓝点网 ·

OCSP还是CRL：哪种证书撤销方法更优？

DEV Community ·

2024年，Firefox 是唯一还在坚持执行在线的 SSL 证书吊销状态检查的主流浏览器

竹林里有冰的博客 ·

Let's Encrypt计划终止OCSP服务，转向CRL协议，以提高隐私性。OCSP协议存在隐私问题，而CRL协议不会收集用户IP地址和浏览记录。Let's Encrypt计划在未来6-12个月内全面转向CRL协议，但需要等待微软支持。

Let’s Encrypt计划终止数字证书OCSP服务全面转向隐私性更好的CRL协议

蓝点网 ·

David Z：使用OCSP Stapling增强PostgreSQL的TLS安全性

Planet PostgreSQL ·

探究 OCSP（在线证书状态协议）

TimochanのBlog ·

如何在 Apache 和 Nginx 上配置 OCSP Stapling

Lenix ·

OCSP Stapling是一种提高TLS握手效率和安全性的技术，可以缓存OCSP响应。在Nginx中使用时，可能会出现域名无法解析的问题，可以通过关闭IPv6解析来解决。

什么是OCSP Stapling,OCSP装订

Lenix ·

全国信息安全标准化技术委员会发布了新版在线证书状态协议，无需请求证书撤销列表即可查询数字证书状态，代替旧版标准。该协议规定了查验证书状态的应用程序和提供证书状态查询的响应器之间需要交换的数据。OCSP作为查询CRL的替代方法或补充方法，对需实时获得数字证书撤销状态相关信息的，OCSP是必不可少的。

信安标委发布《信息安全技术公钥基础设施在线证书状态协议》（征求意见稿）

FreeBuf网络安全行业门户 ·

Exploring mTLS setup to send a client certificate to the backend and OCSP validation

Microsoft Azure Blog ·

OCSP装订解决了在线证书协议中的大多数问题。CA给网站颁发证书之后，网站的每个访问者都会进行OCSP查询。因 […]

「博客优化」使用宝塔面板在nginx环境开启OCSP装订，让你的网站更安全。

zd小达's blog< ·

众所周知，Let's Encrypt 是一个免费的服务。免费自然代表着劣质，所以 ocsp.int-x3.letsencrypt.org 在某些地区无法访问，也就一点不奇怪了。 Nginx 支持 ssl_stapling_responder 参数，允许指定一个 ocsp server。一个显而易见的办法是，为 ocsp.int-x3.letsencrypt.org...

解决 Let's Encrypt 的 OCSP 超时问题

Dallas Lu ·

这个问题成功的吸引了我的注意。起因：一个Flutter写的app在iOS上偶尔会发生了界面卡顿甚至冻结10多秒，但在Android正常。开始这个问题没太引起重视，觉得是flutter的问题。但后来随着dart的issue里面报告的人逐渐多起来，看起来不是那么简单。不过非常令人迷惑的是这个现象只在iOS偶尔出现，Android从来不出现，这种不确定性使得重现和调试非常困难。在issue里...