Chrome浏览器对于SSL证书停止OCSP验证，只保留CRL验证，这有什么影响？

根据目前的网络安全技术发展趋势和搜索结果，关于Chrome浏览器停止OCSP（在线证书状态协议）验证并完全转向CRL（证书吊销列表）验证的表述需要更精准的理解。

实际上，Chrome 并没有单纯“停用”OCSP而改用CRL，而是由于在线实时检查（包括OCSP和CRL）存在性能和隐私问题，Chrome 及其他主流浏览器正在从“实时在线验证”转向“离线轻量级吊销检查”（例如基于CRL的压缩集或CRLite）。

1.为什么OCSP/CRL传统验证模式被逐渐放弃？

性能瓶颈： 传统的OCSP需要浏览器向CA（证书颁发机构）实时发送请求，延迟较高，会降低网页加载速度。

隐私问题： 实时查询会暴露用户的浏览记录给CA。

脆弱性： 如果OCSP服务器响应慢或不可达，浏览器通常会选择忽略，这导致被吊销的证书依然被接受，起不到防护作用。

2.为什么停止实时OCSP？

隐私问题：实时查询会将用户访问的网站域名发送给CA机构。

性能瓶颈：每一次Https握手都需要额外发起一次请求，会延迟网页打开速度。

可靠性：如果CA的OCSP服务器响应慢或挂掉，浏览器可能因为无法确认证书状态而导致网页加载失败。

Chrome 的现状：CRLSet。

Chrome目前主要使用名为 CRLSet 的机制，这是一种将吊销的证书序列号进行压缩和优化的特殊CRL。

CRLSet是离线加载的，由Chrome更新机制自动推送，避免了实时联网查询，解决了性能和隐私问题。

不只是Chrome，微软的Microsoft Edge（基于Chromium）和旧版的IE浏览器同样不再依赖传统的在线OCSP请求，而是采用类似Chrome的机制，结合软件更新来维护吊销列表。

目前只有火狐浏览器仍然使用OCSP验证。

随着证书有效期日益缩短（例如向200天迈进），证书吊销验证的急迫性在降低，吊销带来的风险窗口在缩小。部署证书自动化迫在眉睫。