В Let's Encrypt отключили OCSP-респондеры

Let's Encrypt 6 августа 2025 года отключили свои OCSP-респондеры для оконечных сертификатов. Это запланированное отключение: решение избавиться от OCSP приняли ещё в 2023 году (а окончательно подтвердили дату отключения в декабре 2024 года). Поэтому TLS-сертификаты, выпускаемые Let's Encrypt, больше не содержат адреса респондеров OSCP. Для публикации информации об отзыве сертификатов продолжат использовать списки отзыва (CRL), но не для всех выпускаемых сертификатов – «сверхкороткие» TLS-сертификаты могут вообще не содержать информации о способе проверки статуса.

OCSP – это протокол, позволяющий проверить отозван или нет конкретный TLS-сертификат в онлайн-режиме. Такая проверка проводится при помощи отправки запроса к специальному сервису – к OSCP-респондеру: данный сервис отвечает подписанным УЦ сообщением с актуальным статусом сертификата.

В качестве основной причины отказа от OCSP в Let's Encrypt называют связанный с сервисом «риск приватности»: например, так как статус TLS-сертификата проверяется при доступе к веб-сайту, а по сертификату можно определить, что это за веб-сайт, то УЦ, как оператор OCSP-респондера, получает информацию и о сайте, и об IP-адресе узла, запросившего статус сертификата. (Да, существует OCSP stapling, но полностью проблему эта технология не решает.)

Другая причина отказа от OCSP, которую называют в Let's Encrypt, – желание УЦ сделать свою инфраструктуру как можно проще (что весьма и весьма похвально, пусть и не современно). Поддержка OSCP-респондеров при огромном количестве узлов, использующих TLS-сертификаты Let's Encrypt, представляет большую технологическую проблему. OCSP-сервис Let's Encrypt, как пишут, в этом году обслуживал около 340 млрд запросов в месяц, или около 140 тыс. запросов в