Как напомнили в организации, URL-адреса OCSP больше не включались в сертификаты с апреля 2025 года, а срок действия всех старых сертификатов уже истёк.
Основная причина отказа от OCSP — защита конфиденциальности пользователей. При проверке статуса сертификата через OCSP браузер раскрывает Центру сертификации (CA) IP-адрес пользователя и посещаемый сайт.
Упрощение инфраструктуры — приоритет для Let's Encrypt. Поддержка OCSP на протяжении всех лет работы занимала значительные ресурсы. Переход на CRL снижает нагрузку и повышает устойчивость службы, пишут в Securitylab.
Пиковая нагрузка на OCSP-сервисы Let's Encrypt в этом году составляла до 340 миллиардов запросов в месяц — около 140 тысяч в секунду через CDN и 15 тысяч напрямую к серверам. Эту нагрузку помогала выдерживать компания Akamai, предоставлявшая CDN-услуги бесплатно в течение десяти лет.
Let's Encrypt пообещал и дальше развивать открытую и безопасную инфраструктуру для выдачи TLS-сертификатов, делая ставку на простоту, надёжность и минимальные риски для конфиденциальности.