Let's Encrypt บริการ Certification Authority (CA) ฟรีเปิดบริการ Certificate Revocation Lists (CRLs) สำหรับการประกาศใบรับรองที่ถูกยกเลิกเมื่อมีปัญหาความปลอดภัยของใบรับรอง แม้ว่าที่ผ่านมาหลายปี Let's Encrypt จะไม่รองรับ CRL เลยก็ตาม
CRL เคยเป็นกระบวนการหลักที่เบราว์เซอร์ที่ไคลเอนต์ต่างๆ ใช้ตรวจสอบว่าใบรับรองยังใช้งานได้อยู่หรือไม่ แต่เดิม CRL เคยถูกมองว่าเป็นกระบวนการที่ช้าเกินไป เบราว์เซอร์ตรวจสอบรายการจาก CRL ต่างๆ นานๆ ครั้ง ทำให้ใบรับรองที่กุญแจรั่วไหลถูกใช้งานได้เป็นเวลานาน จึงมีการเสนอ Online Certificate Status Protocol (OCSP) ที่เบราว์เซอร์จะเช็คสถานะใบรับรองเป็นห้วงๆ แต่ก็พบปัญหาใหม่คือ OCSP นั้นอาจจะอัพเดตสถานะช้ามาก และ CA รับรู้ว่าไอพีใดเข้าใช้งานโดเมนใดบ้าง ในช่วงหลังเบราว์เซอร์ต่างๆ สามารถอัพเดตตัวเองได้ในเวลาอันรวดเร็ว และการส่งฐานข้อมูล CRL ก็มีการย่อจนมีขนาดเล็กมากจนสามารถส่งอัพเดต CRL ไปยังเบราว์เซอร์ได้บ่อยๆ ภายใน 6 ชั่วโมงเท่านั้น
เนื่องจาก CRL มีการพัฒนาเทคนิคจนเหนือกว่า OCSP ไปแล้ว ทั้งแอปเปิลและมอซิลล่าบังคับว่า CA ทุกรายต้องเปิดฐานข้อมูล CRL ภายในวันที่ 1 ตุลาคมนี้ แม้ว่า CA ส่วนมากจะมี CRL ให้บริการอยู่แล้วแต่ Let's Encrypt กลับเปิดบริการมาโดยรองรับเฉพาะ OCSP เท่านั้น การเปิดบริการครั้งนี้จึงต้องวางโครงสร้างใหม่ เพราะต้องรองรับกรณีที่แย่ที่สุดคือต้องยกเลิกใบรับรองทุกใบรวมกว่า 200 ล้านใบ คิดเป็นข้อมูลขนาด 8GB เซิร์ฟเวอร์จะกระจายฐานข้อมูลออกเป็น 128 shards ขนาดแต่ละชุดไม่เกิน 70MB
ที่มา - Let's Encrypt