关于 Let's Encrypt 签发的证书 Ending OCSP Support in 2025 的后续问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 54 天前的主题，其中的信息可能已经有所发展或是发生改变。

根据 Let's Encrypt 给出的时间线
https://letsencrypt.org/2024/12/05/ending-ocsp/

2025 年 1 月 30 日
•OCSP Must-Staple 请求将会失败，除非请求账户之前已颁发包含 OCSP Must Staple 扩展的证书

2025 年 5 月 7 日
•在此日期之前，我们将向证书添加 CRL URL
•从此日期起，我们将从证书中删除 OCSP URL
•在此日期，所有请求（包括 OCSP Must Staple 扩展）都将失败

2025 年 8 月 6 日
•在此日期，我们将关闭 OCSP 响应器

目前确认新签发的证书中已包含 CRL_URL 且不再包含 OCSP_URL
检查证书中的 CRL_URL 结果如下

X509v3 CRL Distribution Points:
Full Name:
URI:http://e5.c.lencr.org/78.crl

结果发现 e5.c.lencr.org 这个域名在中国大陆已经被污染完全无法访问

Invoke-WebRequest : 基礎連接已關閉: 接收時發生未預期的錯誤。
位於線路:1 字元:1
+ Invoke-WebRequest -Uri "http://e5.c.lencr.org/78.crl" -UseBasicParsin ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest]，WebExce
ption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand

如果将目前的证书放 Nginx 用于 Web 是没什么问题的, 但是如果放在像是 Windows RDP 上, 连接就会警告:"无法执行凭证的撤销检查"

所以想请教下各位遇到这种情况下该怎么解呢, 总不能让所有 user 的客户端都挂 proxy

OCSP

CRL_URL

e5.c.lencr.org

3 条回复

enihsyou

43 天前

我是发现在 Windows 上使用 aria2 从 *.gofile.io 下载文件时一直提示 `由于吊销服务器已脱机，吊销功能无法检查吊销。
(80092013)` 错误，最终定位到因为证书上的 CRL 地址 http://e6.c.lencr.org/43.crl
无法直接访问，从而找到这里的。
关闭证书验证不是个好想法，目前我也只能靠代理绕过…
（这也算是某种意义的单点故障？

toorich

37 天前

我这边的测试结果表明并不是 DNS 污染而是单纯的 TCP RST……不知道像 https://github.com/URenko/Accesser 这种能不能规避

MiKing233

37 天前

@toorich #2 这个没什么意义, 都下这个了还不如直接下个代理解决, 这事麻烦的地方就是哪怕访问的域名都合法合规, 但它只要用了 Let's Encrypt 签发的证书就会报证书问题, 企业内部可以通过策略路由的方式无感解决这个问题, 但如果是零散的个人用户, 目前看来最好的办法就是每个人都挂代理访问一次可以应付一段时间, 不然要么换证书要么关掉吊销检查, 主要还是 GFW 这操作太坑人了

@enihsyou #1 目前看来只能是这样了