关于 Let's Encrypt 证书在大陆访问的问题

2020-12-03 17:02:36 +08:00
 dayFvckingByte
在境外 vps 上搭了静态的 http server ( ngnix )测试

首先是用了 afraid.org 的域名,用浏览器访问域名的 80 端口没问题,网页正常显示
然后使用了 lets encrypt 的证书添加 https,
上海电信用浏览器访问域名 443 端口没问题,正常显示小绿锁;
江苏移动则无法打开网页,看服务端日志 ssl 握手无法完成,ssl handshake failed, connection rest,看起来服务端和客户端都被中间人发了 RST 阻断。

因为手头没有其他证书无法排查这种阻断是针对域名还是证书,有经验的老哥能介绍下嘛?谢谢。
5100 次点击
所在节点    程序员
29 条回复
dayFvckingByte
2020-12-03 21:14:45 +08:00
@zzzmh 我的正好相反,上海电信的 safari 完全没问题😄
stevenhawking
2020-12-03 21:36:44 +08:00
OCSP 被针对了. 建议考虑国产证书(CFCA/GEOTRUST CN)之类, 联系我可以到千元以内.
Cheat
2020-12-04 02:46:22 +08:00
最便宜的、OCSP 服务器在中国的证书最便宜的多少钱
ragnaroks
2020-12-04 10:01:50 +08:00
用科摩多的低端证书,一年单域名 4 刀,它的 OCSP 被污染的话,你绝对不是第一个跳出来的
dayFvckingByte
2020-12-04 14:52:52 +08:00
@frankwils 其实当年的 cnnic 伪造谷歌签发 ca 证书监听用户搜索内容的事件还历历在目……
ryanlid
2020-12-04 17:00:53 +08:00
ocsp.int-x3.letsencrypt.org
ryanlid
2020-12-04 17:06:23 +08:00
使用 Let's Encrypt 证书,要在服务端开启 ssl_stapling,并且要保证服务端能无污染访问 ocsp 点 int-x3 点 letsencrypt 点 org (连续回贴不能带网址,晕)

否则 iOS,macOS 访问会很慢
dayFvckingByte
2020-12-04 18:05:43 +08:00
@ryanlid 但是我不是慢的问题,而是 ssl 握手直接被 rst 了,应该和 ocsp 没关系吧?
ryanlid
2020-12-04 22:41:11 +08:00
@dayFvckingByte #28

噢,盲猜一下,应该是针对域名,比如 google,修改 hosts 访问, 被 reset

我自己的网站域名用 lets encrypt,是可以正常使用的 https://www.yidiankuaile.com/

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/731829

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX