Let's Encrypt перешёл на CRL — теперь без слежки за IP и сайтами

Let's Encrypt окончательно отключил сервис OCSP (Online Certificate Status Protocol), заменив его на CRL (Certificate Revocation Lists). Как напомнили в организации, URL-адреса OCSP больше не включались в сертификаты с апреля 2025 года, а срок действия всех старых сертификатов уже истёк.

Основная причина отказа от OCSP — защита конфиденциальности пользователей. При проверке статуса сертификата через OCSP браузер раскрывает Центру сертификации (CA) IP-адрес пользователя и посещаемый сайт. Даже если CA, как Let’s Encrypt, не сохраняет эти данные, их можно случайно зафиксировать или обязать сохранять по закону. CRL работают иначе: они публикуются как список отозванных сертификатов, без обратной связи в момент запроса.

Кроме того, упрощение инфраструктуры — приоритет для Let's Encrypt. Поддержка OCSP на протяжении всех лет работы занимала значительные ресурсы. Переход на CRL снижает нагрузку и повышает устойчивость службы.

Пиковая нагрузка на OCSP-сервисы Let's Encrypt в этом году составляла до 340 миллиардов запросов в месяц — около 140 тысяч в секунду через CDN и 15 тысяч напрямую к серверам. Эту нагрузку помогала выдерживать компания Akamai, предоставлявшая CDN-услуги бесплатно в течение десяти лет.

Let's Encrypt пообещал и дальше развивать открытую и безопасную инфраструктуру для выдачи TLS-сертификатов, делая ставку на простоту, надёжность и минимальные риски для конфиденциальности.