Let's Encrypt 颁发的证书所包含的 CRL 链接完全被墙,可能导致所有用 LE 证书的网站在国内无法打开或者弹出警告。

13 天前
 villivateur

今天用 curl 访问我的网站,发现报错:

$ curl -vv https://www.example.com/generate_204
08:43:01.876922 [0-0] * Host www.vvzero.com:443 was resolved.
08:43:01.880422 [0-0] * IPv6: 2408:1:1013:e900::1
08:43:01.883004 [0-0] * IPv4: 1.116.4.74
08:43:01.885021 [0-0] * [HTTPS-CONNECT] added
08:43:01.887128 [0-0] * [HTTPS-CONNECT] connect, init
08:43:01.889315 [0-0] * [HTTPS-CONNECT] connect, check h21
08:43:01.891506 [0-0] *   Trying [2408:1:1013:e900::1]:443...
08:43:01.894156 [0-0] * [HTTPS-CONNECT] connect -> 0, done=0
08:43:01.896145 [0-0] * [HTTPS-CONNECT] adjust_pollset -> 1 socks
08:43:01.898445 [0-0] * [HTTPS-CONNECT] connect, check h21
08:43:01.901163 [0-0] * [HTTPS-CONNECT] connect -> 0, done=0
08:43:01.903526 [0-0] * [HTTPS-CONNECT] adjust_pollset -> 1 socks
08:43:01.907055 [0-0] * [HTTPS-CONNECT] connect, check h21
08:43:01.910135 [0-0] * schannel: disabled automatic use of client certificate
08:43:01.917094 [0-0] * [HTTPS-CONNECT] connect -> 0, done=0
08:43:01.919009 [0-0] * [HTTPS-CONNECT] adjust_pollset -> 1 socks
08:43:01.924728 [0-0] * [HTTPS-CONNECT] connect, check h21
08:43:01.933717 [0-0] * schannel: next InitializeSecurityContext failed: CRYPT_E_REVOCATION_OFFLINE (0x80092013) - The revocation function was unable to check revocation because the revocation server was offline.
08:43:01.939440 [0-0] * [HTTPS-CONNECT] connect, all failed
08:43:01.941833 [0-0] * [HTTPS-CONNECT] connect -> 35, done=0
08:43:01.944171 [0-0] * closing connection #0
08:43:01.947391 [0-0] * [HTTPS-CONNECT] close
08:43:01.949490 [0-0] * [SETUP] close
08:43:01.952020 [0-0] * [SETUP] destroy
08:43:01.954525 [0-0] * [HTTPS-CONNECT] destroy
curl: (35) schannel: next InitializeSecurityContext failed: CRYPT_E_REVOCATION_OFFLINE (0x80092013) - The revocation function was unable to check revocation because the revocation server was offline.

然后尝试访问证书里提供的 CRL 链接:

$ curl -v http://e5.c.lencr.org/80.crl
* Host e5.c.lencr.org:80 was resolved.
* IPv6: 2606:4700::6812:15d5, 2606:4700::6812:14d5
* IPv4: 104.18.20.213, 104.18.21.213
*   Trying [2606:4700::6812:15d5]:80...
* Connected to e5.c.lencr.org (2606:4700::6812:15d5) port 80
* using HTTP/1.x
> GET /80.crl HTTP/1.1
> Host: e5.c.lencr.org
> User-Agent: curl/8.10.1
> Accept: */*
>
* Request completely sent off
* Recv failure: Connection was reset
* closing connection #0
curl: (56) Recv failure: Connection was reset

itdog 查询显示这个域名已经完全被墙,方法是 TCP RST 。

部分浏览器可能不会检查 CRL ,那就没问题。但可能更多的正规浏览器或者 APP 会检查,就会导致无法访问或者弹出警告。

小站站长可能会痛苦了,很多人可能没法上你的网站了。

7616 次点击
所在节点    信息安全
52 条回复
jeesk
13 天前
ZeroSSL 和 LetsEncrypt 都用上呀。
billzhuang
13 天前
不都是用 OCSP 来检查的么?
wasaibi12345
13 天前
虽然不是站长,但是 NAS 的域名用的是 lets encrypt 的证书,当初就觉得这个东西墙不墙完全看上面的心情,不安全
wasaibi12345
13 天前
今天凌晨不是墙抽风了吗?有没有可能是这个原因?
cheng6563
13 天前
浏览器上,实际上这些检查都只有 Firefox 在较为严格地执行
而且 OCSP 都快凉了
反正放心用完事
billzhuang
13 天前
哦, 看到 lets encrypt 从 OCSP 切换到了 CRL 。

但主流浏览器和移动端也不检测 CRL 的吧
vfs
13 天前
刚刚试了,crl 域名可以正常访问啊 (陕西西安)
villivateur
13 天前
@wasaibi12345 跟今天凌晨墙抽风没关系,好像已经很久了


@cheng6563 这个是 CRL ,替代了 OSCP
dorothyREN
13 天前
@jeesk zeroSSL 都不做证书业务了
186526
13 天前
北京联通和北京阿里云稳定复现
但是在 Chrome 上 CRL 应该还是基于 CRLSet 批量更新的,影响不大
jim9606
13 天前
有个比较极端的解决办法
换用 LE 新出的只有 7 天有效期的 shortlived 证书,这个直接没有 CRL 和 OCSP
salmon5
13 天前
curl 会检查 CRL 吗?只有 FireFox 会强制检查 OSCP
salmon5
13 天前
OSCP 因为隐私问题,马上要下线了
yokisama
13 天前
怪不得我 Arch 更新 AUR 时一直提示 tls timeout
我一直开着软路由 passwall 但,但能访问网页无法通过 rpc 更新
原来是验证的域名被墙了...
skiy
13 天前
@dorothyREN 不做证书业务的不是 ZeroSSL 吧?不做证书业务的好像是 Buypass 。
https://www.buypass.com/products/tls-ssl-certificates
huangsijun17
13 天前
1. 上海联通打不开该 URL 。
2. 我看了我这个的 LE 证书,不是这个 CRL 地址。
chenshaoju
13 天前
试了一下,http://e5.c.lencr.org/80.crl 确实被重置了。
但是看了一下我的网站用的 Let's Encrypt ,CRL 是 http://r11.c.lencr.org/43.crl ,这个暂时没问题。
arrow629
13 天前
好像浏览器本来就没几个会实时查 CRL 吧,Chromium 用 CRLSet ,Firefox 用 OneCRL 。
salmon5
13 天前
@salmon5 #13 OSCP 已经下线了 https://letsencrypt.org/2025/08/06/ocsp-service-has-reached-end-of-life
MiKing233
13 天前
很早就发过了, 没什么好的解决方案
https://www.v2ex.com/t/1144666

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1153589

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX