Comments 6
Я могу неверно оценивать мотивы, но мне кажется, что основным мотивом такого шага является желание максимально укоротить время жизни сертификатов. Последнее время прослеживается такая (весьма спорная) тенденция и выключение логики OCSP
Это тоже, согласен. С одной стороны, поток сертификатов увеличится и поддерживать OCSP станет ещё труднее; с другой стороны – TLS-сертификаты сейчас превращают в безотзывные кратковременные токены разрешения доступа пользователей, которые центральный сервис выдаёт узлам, публикующим веб-страницы и другую информацию, так что и OCSP, и CRL становятся технологической обузой.
Так вот почему c:\windows\system32\curl.exe начал писать "CRYPT_E_REVOCATION_OFFLINE The revocation function was unable to check revocation because the revocation server was offline."
Это вряд ли из-за OCSP для LE. В их действующих TLS-сертификатах уже не должно быть ссылок на OCSP, а проверять отзыв для сертификата, у которого закончился срок действия, смысла нет (ну, разве что, вручную потестировать корректность настройки OCSP). Но, возможно, недоступна точка раздачи CRL.
CRYPT_E_REVOCATION_OFFLINE - это ж вроде ошибка недоступности CRL, а не OCSP?
Ну что ж вот и до ocsp добрались. Честно говоря, я их и так редко видел в дикой природе - большинство браузеров давно на всё это махнули рукой и полагаются на свои кэши и CRL-ки.
В Let's Encrypt отключили OCSP-респондеры