火狐浏览器是和 Let's Encrypt Authority X3 水土不服吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 1941 days ago, the information mentioned may be changed or developed.

开始还没在意，我也是主用 chrome，怀疑是安装的浏览器损坏了，但在虚拟机新安装了火狐浏览器之后还是这个问题。各位知道这是什么错误引起的吗？

10 replies • 2021-01-02 11:50:53 +08:00

alect

Jan 2, 2021

OCSP 设置问题

Overfill3641

Jan 2, 2021

@alect 怎么说？ OCSP Stapling 我确实没搞，nginx 折腾了几次都不生效，但我将 ocsp.int-x3.letsencrypt.org 劫持到 175.45.42.217 ，RDP 也成功验证了。

alect

Jan 2, 2021

@v2tudnew #2 加下面内容到 SSL 设置的地方。

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8;

Overfill3641

Jan 2, 2021

@alect 没用，myssl.com 测试还是：OCSP 装订状态不支持

alect

Jan 2, 2021

@v2tudnew #4 Let's Encrypt OCSP 域名被封的

Overfill3641

Jan 2, 2021

Overfill3641

Jan 2, 2021

@alect 解决了，问题确实是 OCSP Stapling 问题，我将 docker dns 指定到网关（网关劫持了 OCSP 域名）马上通过了。。。

ruixue

Jan 2, 2021

检查一下证书链，Lets 最近换中间证书了，之前的 OCSP 域名被污染的问题已经解决了
https://letsencrypt.org/2020/09/17/new-root-and-intermediates.html

Overfill3641

Jan 2, 2021

@ruixue 不清楚，它写着 9 月 17 日，我证书是 12 月申请的，之前没劫持 OCSP 域名连 RDP 都打不开。

ruixue

Jan 2, 2021

@v2tudnew 可以看下中间证书是不是叫 R3，如果是的话，OCSP 已经没有问题了，可以不用装订
https://crt.sh/?caid=183267