В современном интернете безопасность и конфиденциальность занимают ключевое место в построении доверительных отношений между пользователями и веб-сайтами. Одним из важнейших механизмов обеспечения безопасности соединений является проверка статуса цифровых сертификатов. Компания Let's Encrypt, один из крупнейших центров сертификации (CA), недавно объявила о полном прекращении поддержки протокола Online Certificate Status Protocol (OCSP). Вместо этого была выбрана публикация информации о статусе сертификатов исключительно через списки отзыва сертификатов (CRL). Такое решение имеет глубокие причины и последствия, как для владельцев сайтов, так и для конечных пользователей.
Разберём в деталях, что именно произошло, почему OCSP признан устаревшим и какую роль будут играть CRL в будущем интернет-безопасности. OCSP - что это было и почему он использовался? Протокол Online Certificate Status Protocol был разработан для оперативной проверки статуса сертификатов в реальном времени. При посещении сайта, браузер мог отправить запрос OCSP к серверу центра сертификации, чтобы удостовериться, что сертификат не был отозван до истечения срока его действия. Эта проверка помогает предотвратить атаки с использованием скомпрометированных или поддельных сертификатов. При правильной работе, OCSP обеспечивает дополнительный уровень защиты, позволяя мгновенно узнать о проблемах с сертификатом.
Однако у OCSP имелись серьёзные недостатки, которые со временем стали веским аргументом для его отмены. Ключевая проблема - угроза приватности пользователей. Каждый запрос OCSP раскрывал операторам сервиса информацию о том, какие сайты посещает конкретный пользователь, а также его IP-адрес. Даже если центр сертификации старался не сохранять эти данные намеренно, технически всегда существовал риск случайного хранения, утечки или принудительного сбора по закону. Сегодня вопросы конфиденциальности приобретают всё большую значимость, и многие технологии, ранее считавшиеся стандартом, подвергаются переосмыслению.
Почему Let's Encrypt отказался от OCSP Let's Encrypt придерживается принципов открытости, бесплатности и максимальной защиты прав пользователей. В декабре 2024 года компания объявила о решении отказаться от включения OCSP URL в свои сертификаты. Спустя более 90 дней, когда все сертификаты с OCSP-ссылками истекли, OCSP-сервис официально был отключён 6 августа 2025 года. Решение компании было обосновано несколькими факторами. Во-первых, обеспечение анонимности и безопасности пользователей в интернете.
OCSP-запросы несут риск раскрытия маршрута пользователя и его активности. Переключение на списки отзыва сертификатов (CRL) позволяет полностью устранить эту проблему, так как загрузка CRL не привязана к конкретным действиям пользователя в режиме реального времени. Во-вторых, оптимизация операционной деятельности и инфраструктуры Let's Encrypt. Поддержка и обслуживание OCSP-серверов требовала огромных ресурсов. На пике активности ежемесячный объём запросов достигал порядка 340 миллиардов, что эквивалентно более 140 тысячам запросов в секунду на CDN и 15 тысячам - на серверы origin.
Эти мощности можно использовать более эффективно для развития других направлений и улучшения инфраструктуры службы. Благодарность была выражена партнёру - компании Akamai, предоставлявшей CDN для OCSP на протяжении последних десяти лет. Наконец, с точки зрения стабильности и надежности сервисов, отказ от OCSP упрощает архитектуру и снижает потенциальные точки отказа, что ведёт к повышению общей безопасности и производительности центра сертификации. Что такое списки отзыва сертификатов (CRL) и почему они безопаснее? Списки отзыва сертификатов представляют собой файлы, которые публикуются центром сертификации и содержат перечень сертификатов, статус которых был отозван досрочно. CRL обновляются периодически и загружаются клиентскими программами или серверами до установления соединения.
В отличие от OCSP, обращение к CRL не происходит в момент посещения сайта и не связано напрямую с поведением пользователя, что значительно повышает анонимность. Использование CRL позволяет браузерам и другим клиентам проверять статус сертификатов автономно, без необходимости раскрывать информацию о посещаемых ресурсах в режиме реального времени. Это существенно снижает угрозы слежки и вторжения в личные данные. Влияние на пользователей и веб-мастеров Для конечных пользователей изменения практически незаметны. При посещении сайтов, защищённых сертификатами Let's Encrypt, проверка статуса сертификата будет происходить автоматически посредством CRL.
Это не должно повлиять на скорость загрузки страниц или уровень безопасности соединения при условии корректной реализации клиентского программного обеспечения. Для владельцев сайтов и администраторов критически важно обеспечить своевременное обновление сертификатов и корректную поддержку новых методов проверки. Несмотря на завершение OCSP, Let's Encrypt продолжает предоставлять бесплатные сертификаты с высокой степенью доверия, а новые изменения направлены на улучшение качества и надежности услуг. Будущие тенденции интернет-безопасности после отказа от OCSP Информационная безопасность в интернете постоянно эволюционирует. Отказ от OCSP знаменует собой важный шаг на пути к улучшению приватности и упрощению инфраструктуры сертификации.
Следует отметить, что не все центры сертификации отказались от OCSP, но тренд на снижение зависимости от этого протокола набирает обороты. Разрабатываются и внедряются альтернативные методы, такие как OCSP Stapling и более продвинутые механизмы проверки, интегрированные на стороне серверов и браузеров, что позволит минимизировать риски и повысить скорость проверки без потери конфиденциальности. Кроме того, автоматизация процесса управления сертификатами, мониторинг и быстрое реагирование на угрозы становятся все более востребованными. Безопасность в интернете зависит от слаженной работы множества компонентов, и отказ от устаревших протоколов позволяет сосредоточиться на развитии инновационных решений. Заключение Итоговое решение Let's Encrypt о завершении поддержки OCSP отражает растущую озабоченность вопросами конфиденциальности и оптимизации ресурсов в индустрии цифровых сертификатов.
Переход на списки отзыва сертификатов (CRL) обеспечивает более безопасный и приватный способ проверки статуса, устраняя уязвимости, присущие OCSP. Владельцам сайтов и администраторам важно адаптироваться к новым стандартам проверки, а обычным пользователям можно быть уверенными, что их безопасность не пострадает. Крупнейший центр сертификации продолжает вести работу над улучшением своей инфраструктуры, поддерживая доверие миллионов пользователей по всему миру. Новые подходы к обеспечению безопасности, основанные на современных технологиях, открывают перспективы для создания более надежного и приватного интернета будущего. .
