主要观点：世界最大的 CA（证书颁发机构）即将停止对在线证书状态协议（OCSP）的支持，OCSP 存在隐私、性能和可用性等问题，虽有 OCSP 钉住等技术尝试解决但效果不佳，Let's Encrypt 宣布 2025 年结束 OCSP 支持，此举将对生态系统产生影响，同时探讨了撤销检查的未来，CRLite 是一个有希望的解决方案但可能仅适用于部分客户端。
关键信息：

• OCSP 用于检查 SSL 证书是否被撤销，存在隐私泄露、性能慢、可用性差等问题。
• OCSP 钉住可减轻部分问题，但作用有限。
• Let's Encrypt 于 2024 年 7 月宣布有意结束 OCSP 服务，12 月确定 2025 年结束，给出了具体时间表。
• Let's Encrypt 每周有 830 亿 CDN 点击和 110 亿源点击，OCSP 处理每秒约 18000 个请求，成本较高。
• CRLite 是解决撤销检查问题的新机制，但可能仅适用于部分客户端。
  重要细节：
• 证书可因私钥泄露等原因被撤销，OCSP 可防止连接到被攻击的站点。
• 客户端访问网站时向颁发 CA 发送 OCSP 请求会泄露浏览活动。
• OCSP 检查增加网络延迟，OCSP 响应器故障时客户端会忽略检查。
• Let's Encrypt 结束 OCSP 支持后，OCSP Must-Staple 请求将失败等。
• CRLite 利用布隆过滤器解决 CRL 大小、隐私、性能等问题。