关于 Let's Encrypt 证书在大陆访问的问题 - V2EX

Home Sign Up Sign In

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 1987 days ago, the information mentioned may be changed or developed.

在境外 vps 上搭了静态的 http server （ ngnix ）测试

首先是用了 afraid.org 的域名，用浏览器访问域名的 80 端口没问题，网页正常显示
然后使用了 lets encrypt 的证书添加 https，
上海电信用浏览器访问域名 443 端口没问题，正常显示小绿锁；
江苏移动则无法打开网页，看服务端日志 ssl 握手无法完成，ssl handshake failed, connection rest，看起来服务端和客户端都被中间人发了 RST 阻断。

因为手头没有其他证书无法排查这种阻断是针对域名还是证书，有经验的老哥能介绍下嘛？谢谢。

29 replies • 2020-12-04 22:41:11 +08:00

1

kingfalse

Dec 3, 2020 via Android

阿里云，或者腾讯云嫖个免费证书用吧

2

catning

Dec 3, 2020

阿里云白嫖 +1

3

Girls

Dec 3, 2020 via iPhone

换个证书再测，不就知道了

4

daiqiangbudainiu

Dec 3, 2020

ocsp

5

dayFvckingByte

OP

Dec 3, 2020

@kingfalse
@eGlhb2Jhb2Jhbw
还有这种好事，我去看看😂

6

Keyes

Dec 3, 2020 via iPhone

移动强中强了解一下

7

madlifer

Dec 3, 2020

1

https://www.hostloc.com/thread-776364-1-1.html
现在不要用 lets, lets 目前还存在污染情况，去 freessl.cn 换一个去吧

回答你的问题，阻断是针对正式证书的

8

dayFvckingByte

OP

Dec 3, 2020

更正 “ssl handshake failed, connection rest” =====> “ssl handshake failed, connection reset”，打错了。

9

mepwang

Dec 3, 2020 via iPhone

@madlifer cn 域名的证书，肯定有后门，当心被监听

10

madlifer

Dec 3, 2020

@mepwang 怕的话去买福满多的证书好了，亚洲诚信的垃圾证书也就那回事儿，付费证书能不拖慢你网站速度

11

kerro1990

Dec 3, 2020

开启 OCSP Stapling 试试

12

muzuiget

Dec 3, 2020

let's 证书没啥问题吧，江苏移动那种情况，还不如先确定下 IP 就是你的域名 IP，connection rest，可能就在 TCP 层面已经被重置了，连 TLS 层都未到。

13

lostberryzz

Dec 3, 2020

nginx 开启 ssl_stapling

14

frankwils

Dec 3, 2020

1

"cn 域名的证书，肯定有后门，当心被监听"
今日笑断 J8

15

INTEL2333

Dec 3, 2020 via Android

let's 最近新签发的那批 ocsp 正常吧？你找找你那边的问题

16

dayFvckingByte

OP

Dec 3, 2020

@muzuiget 前面半句是 ssl handshake failed……

17

dayFvckingByte

OP

Dec 3, 2020

@muzuiget 我知道你的意思了，但是如果不是我的 ip，服务端怎么会收到三次握手，中间人直接阻断即可，没必要再转给服务端吧？🤔

18

elfsundae

Dec 3, 2020

国内用的话，放弃 lets 的证书吧，开 stapling 也不是完全不验证，阿里云腾讯云免费证书够用了，只是不支持泛域名，腾讯云现在好像限制一个域名的证书数量，不过限制数够大，一般够用了。

19

love

Dec 3, 2020

听闻 lets 的要上 ssl stapling，否则 iOS 下有问题，chrome 没有。我的上了。比较简单，在 nginx 里设置一下，再接到那个开源的转发工具 https://github.com/virushuo/ocsp-proxy/

20

zzzmh

Dec 3, 2020

换证书解决之，子域名多就多申请几张，我测过 IOS MAC 的 safari 全部不行 IOS 微信小程序也不行

21

dayFvckingByte

OP

Dec 3, 2020

@zzzmh 我的正好相反，上海电信的 safari 完全没问题😄

22

stevenhawking

Dec 3, 2020

OCSP 被针对了. 建议考虑国产证书(CFCA/GEOTRUST CN)之类, 联系我可以到千元以内.

23

Cheat

Dec 4, 2020

最便宜的、OCSP 服务器在中国的证书最便宜的多少钱

24

ragnaroks

Dec 4, 2020

1

用科摩多的低端证书，一年单域名 4 刀，它的 OCSP 被污染的话，你绝对不是第一个跳出来的

25

dayFvckingByte

OP

Dec 4, 2020

@frankwils 其实当年的 cnnic 伪造谷歌签发 ca 证书监听用户搜索内容的事件还历历在目……

26

ryanlid

Dec 4, 2020

ocsp.int-x3.letsencrypt.org

27

ryanlid

Dec 4, 2020

使用 Let's Encrypt 证书，要在服务端开启 ssl_stapling，并且要保证服务端能无污染访问 ocsp 点 int-x3 点 letsencrypt 点 org （连续回贴不能带网址，晕）

否则 iOS，macOS 访问会很慢

28

dayFvckingByte

OP

Dec 4, 2020

@ryanlid 但是我不是慢的问题，而是 ssl 握手直接被 rst 了，应该和 ocsp 没关系吧？

29

ryanlid

Dec 4, 2020

@dayFvckingByte #28

噢，盲猜一下，应该是针对域名，比如 google，修改 hosts 访问, 被 reset

我自己的网站域名用 lets encrypt，是可以正常使用的 https://www.yidiankuaile.com/

About · Help · Advertise · Blog · API · FAQ · Solana · 1055 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 75ms · UTC 18:42 · PVG 02:42 · LAX 11:42 · JFK 14:42
♥ Do have faith in what you're doing.