浏览器厂商对证书吊销检查的依赖度在未来会如何变化？

这是一个非常关键的问题。浏览器厂商的策略变化直接影响了网站的安全和可用性。目前，您可以观察到，浏览器对 OCSP弱化 的趋势是明确的，这主要体现在对特定CA的反应上。

浏览器对OCSP的弱化态度

浏览器正在减少对实时OCSP查询的依赖性，特别是在面对隐私问题和性能瓶颈时。如果一个OCSP响应服务器无法及时响应，现代浏览器通常会采取“软失败”策略，即允许连接继续，而不是像启用Must-Staple时那样直接拒绝连接。这意味着浏览器对证书状态的验证正在变得更加灵活。

短期证书策略的影响 ⏱️

对于像Let's Encrypt这类采用短期证书的CA，浏览器厂商的信任模型发生了变化。由于证书的有效期很短（例如90天），即使证书被吊销，其有效时间窗口也极小，因此实时 吊销检查 的必要性降低了。浏览器更倾向于信任这些高频更新的证书。

未来重点：CRL与内置状态

未来，浏览器将更侧重于使用内置的、预先下载的证书吊销列表（CRL）进行验证，或者依赖于CA自身快速发布新证书的机制。对于大多数网站而言，只要您使用的是信誉良好的CA并保持定期更新，即使 CRL信任 机制取代了OCSP，您的网站连接也不会出现问题。