火狐浏览器是和 Let's Encrypt Authority X3 水土不服吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 1413 天前的主题，其中的信息可能已经有所发展或是发生改变。

开始还没在意，我也是主用 chrome，怀疑是安装的浏览器损坏了，但在虚拟机新安装了火狐浏览器之后还是这个问题。各位知道这是什么错误引起的吗？

10 条回复 • 2021-01-02 11:50:53 +08:00

alect

2021-01-02 11:08:19 +08:00

OCSP 设置问题

v2tudnew

2021-01-02 11:13:47 +08:00

@alect 怎么说？ OCSP Stapling 我确实没搞，nginx 折腾了几次都不生效，但我将 ocsp.int-x3.letsencrypt.org 劫持到 175.45.42.217 ，RDP 也成功验证了。

alect

2021-01-02 11:16:24 +08:00

@v2tudnew #2 加下面内容到 SSL 设置的地方。

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8;

v2tudnew

2021-01-02 11:19:14 +08:00

@alect 没用，myssl.com 测试还是：OCSP 装订状态不支持

alect

2021-01-02 11:25:26 +08:00

@v2tudnew #4 Let's Encrypt OCSP 域名被封的

v2tudnew

2021-01-02 11:25:38 +08:00

v2tudnew

2021-01-02 11:31:10 +08:00

@alect 解决了，问题确实是 OCSP Stapling 问题，我将 docker dns 指定到网关（网关劫持了 OCSP 域名）马上通过了。。。

ruixue

2021-01-02 11:32:11 +08:00

检查一下证书链，Lets 最近换中间证书了，之前的 OCSP 域名被污染的问题已经解决了
https://letsencrypt.org/2020/09/17/new-root-and-intermediates.html

v2tudnew

2021-01-02 11:44:55 +08:00

@ruixue 不清楚，它写着 9 月 17 日，我证书是 12 月申请的，之前没劫持 OCSP 域名连 RDP 都打不开。

ruixue

2021-01-02 11:50:53 +08:00

@v2tudnew 可以看下中间证书是不是叫 R3，如果是的话，OCSP 已经没有问题了，可以不用装订
https://crt.sh/?caid=183267