首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MySSL
Let's Encrypt
Certbot 使用文档
Dehydrated
Stay.live 证书有效期监控
HTTP Strict Transport Security
OpenSSL 官网
Qualys SSL Test
证书链补全工具
在线 CSR 生成工具
SSL 云监控
What's My Chain Cert?
Certificate Search by Comodo
广告
redsonic
V2EX  ›  SSL

OCSP 过期

  •   
  •   redsonic · 2016-12-12 21:15:25 +08:00 · 1569 次点击
    这是一个创建于 2695 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我把浏览器弄成了 OCSP 强验证然后就出问题了,访问 cdn.v2ex.co 提示证书被吊销, https://www.ssllabs.com/ssltest/analyze.html?d=cdn.v2ex.co 显示没有吊销,但提示 OCSP ERROR: OCSP response expired on Sun Dec 11 19:00:00 PST 2016 , 我抓包看确实 ocsp.int-x3.letsencrypt.org 的应答中 nextupdate 已经过期,时间就是 dec 11 19 : 00 PST 。 rfc2560 没说这个 nextupdate 怎么生成的,这算是 letsencrypt 的锅?

    怕是 ocsp 被流氓缓存了爬梯子访问结果一样。

  • OCSP
  • 访问
  • 梯子
  • 吊销
    5 条回复    2016-12-13 00:12:55 +08:00
    redsonic
        1
    redsonic  
    OP
       2016-12-12 21:19:47 +08:00
    @Livid
    redsonic
        2
    redsonic  
    OP
       2016-12-12 23:02:05 +08:00
    是官方的锅, http://letsencrypt.status.io 已经标记了 ocsp.int-x3.letsencrypt.org 有问题。之前 chrome 说过 oscp 和 crl 机制是 broken 的, 这算是言中了 @Livid
    Showfom
        3
    Showfom  
       2016-12-12 23:54:51 +08:00
    所以浏览器不要弄 oscp 这东西还不是很完善
    redsonic
        4
    redsonic  
    OP
       2016-12-13 00:04:05 +08:00
    @Showfom 上次 GlobalSign 的事件因为 chrome 不用 oscp 和 crl 所以没受影响...
    Showfom
        5
    Showfom  
       2016-12-13 00:12:55 +08:00
    @redsonic 9494
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   4487 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 09:49 · PVG 17:49 · LAX 02:49 · JFK 05:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.