这是一个创建于 91 天前的主题,其中的信息可能已经有所发展或是发生改变。
根据 Let's Encrypt 给出的时间线
https://letsencrypt.org/2024/12/05/ending-ocsp/
2025 年 1 月 30 日
OCSP Must-Staple 请求将会失败,除非请求账户之前已颁发包含 OCSP Must Staple 扩展的证书
2025 年 5 月 7 日
在此日期之前,我们将向证书添加 CRL URL
从此日期起,我们将从证书中删除 OCSP URL
在此日期,所有请求(包括 OCSP Must Staple 扩展)都将失败
2025 年 8 月 6 日
在此日期,我们将关闭 OCSP 响应器
目前确认新签发的证书中已包含 CRL_URL 且不再包含 OCSP_URL
检查证书中的 CRL_URL 结果如下
X509v3 CRL Distribution Points:
Full Name:
URI:http://e5.c.lencr.org/78.crl
结果发现 e5.c.lencr.org 这个域名在中国大陆已经被污染完全无法访问
Invoke-WebRequest : 基接已: 接收生未期的。
位於 路:1 字元:1
+ Invoke-WebRequest -Uri "http://e5.c.lencr.org/78.crl" -UseBasicParsin ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest],WebExce
ption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand
如果将目前的证书放 Nginx 用于 Web 是没什么问题的, 但是如果放在像是 Windows RDP 上, 连接就会警告:"无法执行凭证的撤销检查"
所以想请教下各位遇到这种情况下该怎么解呢, 总不能让所有 user 的客户端都挂 proxy
https://letsencrypt.org/2024/12/05/ending-ocsp/
2025 年 1 月 30 日
OCSP Must-Staple 请求将会失败,除非请求账户之前已颁发包含 OCSP Must Staple 扩展的证书
2025 年 5 月 7 日
在此日期之前,我们将向证书添加 CRL URL
从此日期起,我们将从证书中删除 OCSP URL
在此日期,所有请求(包括 OCSP Must Staple 扩展)都将失败
2025 年 8 月 6 日
在此日期,我们将关闭 OCSP 响应器
目前确认新签发的证书中已包含 CRL_URL 且不再包含 OCSP_URL
检查证书中的 CRL_URL 结果如下
X509v3 CRL Distribution Points:
Full Name:
URI:http://e5.c.lencr.org/78.crl
结果发现 e5.c.lencr.org 这个域名在中国大陆已经被污染完全无法访问
Invoke-WebRequest : 基接已: 接收生未期的。
位於 路:1 字元:1
+ Invoke-WebRequest -Uri "http://e5.c.lencr.org/78.crl" -UseBasicParsin ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest],WebExce
ption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand
如果将目前的证书放 Nginx 用于 Web 是没什么问题的, 但是如果放在像是 Windows RDP 上, 连接就会警告:"无法执行凭证的撤销检查"
所以想请教下各位遇到这种情况下该怎么解呢, 总不能让所有 user 的客户端都挂 proxy
3 条回复
 | 1 enihsyou 80 天前 我是发现在 Windows 上使用 aria2 从 *.gofile.io 下载文件时一直提示 `由于吊销服务器已脱机,吊销功能无法检查吊销。 (80092013)` 错误,最终定位到因为证书上的 CRL 地址 http://e6.c.lencr.org/43.crl 无法直接访问,从而找到这里的。 关闭证书验证不是个好想法,目前我也只能靠代理绕过… (这也算是某种意义的单点故障? |
 | 2 toorich 74 天前 我这边的测试结果表明并不是 DNS 污染而是单纯的 TCP RST……不知道像 https://github.com/URenko/Accesser 这种能不能规避 |
Select Language