关于 Let's Encrypt 签发的证书 Ending OCSP Support in 2025 的后续问题

71 天前
 MiKing233
根据 Let's Encrypt 给出的时间线
https://letsencrypt.org/2024/12/05/ending-ocsp/

2025 年 1 月 30 日
•OCSP Must-Staple 请求将会失败,除非请求账户之前已颁发包含 OCSP Must Staple 扩展的证书

2025 年 5 月 7 日
•在此日期之前,我们将向证书添加 CRL URL
•从此日期起,我们将从证书中删除 OCSP URL
•在此日期,所有请求(包括 OCSP Must Staple 扩展)都将失败

2025 年 8 月 6 日
•在此日期,我们将关闭 OCSP 响应器

目前确认新签发的证书中已包含 CRL_URL 且不再包含 OCSP_URL
检查证书中的 CRL_URL 结果如下

X509v3 CRL Distribution Points:
Full Name:
URI:http://e5.c.lencr.org/78.crl

结果发现 e5.c.lencr.org 这个域名在中国大陆已经被污染完全无法访问

Invoke-WebRequest : 基礎連接已關閉: 接收時發生未預期的錯誤。
位於 線路:1 字元:1
+ Invoke-WebRequest -Uri "http://e5.c.lencr.org/78.crl" -UseBasicParsin ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest],WebExce
ption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand





如果将目前的证书放 Nginx 用于 Web 是没什么问题的, 但是如果放在像是 Windows RDP 上, 连接就会警告:"无法执行凭证的撤销检查"

所以想请教下各位遇到这种情况下该怎么解呢, 总不能让所有 user 的客户端都挂 proxy
1252 次点击
所在节点    SSL
3 条回复
enihsyou
60 天前
我是发现在 Windows 上使用 aria2 从 *.gofile.io 下载文件时一直提示 `由于吊销服务器已脱机,吊销功能无法检查吊销。
(80092013)` 错误,最终定位到因为证书上的 CRL 地址 http://e6.c.lencr.org/43.crl
无法直接访问,从而找到这里的。
关闭证书验证不是个好想法,目前我也只能靠代理绕过…
(这也算是某种意义的单点故障?
toorich
54 天前
我这边的测试结果表明并不是 DNS 污染而是单纯的 TCP RST……不知道像 https://github.com/URenko/Accesser 这种能不能规避
MiKing233
54 天前
@toorich #2 这个没什么意义, 都下这个了还不如直接下个代理解决, 这事麻烦的地方就是哪怕访问的域名都合法合规, 但它只要用了 Let's Encrypt 签发的证书就会报证书问题, 企业内部可以通过策略路由的方式无感解决这个问题, 但如果是零散的个人用户, 目前看来最好的办法就是每个人都挂代理访问一次可以应付一段时间, 不然要么换证书要么关掉吊销检查, 主要还是 GFW 这操作太坑人了

@enihsyou #1 目前看来只能是这样了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1144666

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX