V2EX 17小时前
[SSL] 关于 Let's Encrypt 签发的证书 Ending OCSP Support in 2025 的后续问题
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

Let's Encrypt 计划于2025年逐步停止OCSP服务,并引入CRL作为替代方案。这一变化将对依赖OCSP的系统产生影响,特别是对于在中国大陆地区的用户。文章详细介绍了Let's Encrypt的时间表,包括OCSP Must-Staple请求失败、证书中OCSP URL的移除、CRL URL的添加以及OCSP响应器的关闭等关键节点。同时,文章也指出了在中国大陆地区访问CRL URL可能遇到的问题,以及这些问题对Windows RDP等场景的影响,并提出了相应的解决方案需求。

📌Let's Encrypt 宣布将于2025年逐步停止OCSP服务,并使用CRL(证书吊销列表)作为替代方案。这一转变将分阶段进行,包括OCSP Must-Staple请求失败、OCSP URL的移除和CRL URL的添加。

💡2025年1月30日起,如果账户之前未颁发包含OCSP Must Staple扩展的证书,OCSP Must-Staple请求将失败。2025年5月7日之前,证书将添加CRL URL。2025年5月7日起,将从证书中删除OCSP URL。2025年8月6日,OCSP响应器将关闭。

⚠️在中国大陆地区,由于域名污染,访问CRL URL(如http://e5.c.lencr.org/78.crl)可能会遇到问题,导致无法进行证书吊销检查。这会影响依赖证书吊销检查的场景,例如Windows RDP连接。

✅对于受到影响的用户,文章提出了解决方案的需求,例如调整客户端设置,或者寻找其他方式来解决证书吊销检查问题,以确保服务的正常运行。

根据 Let's Encrypt 给出的时间线
https://letsencrypt.org/2024/12/05/ending-ocsp/

2025 年 1 月 30 日
•OCSP Must-Staple 请求将会失败,除非请求账户之前已颁发包含 OCSP Must Staple 扩展的证书

2025 年 5 月 7 日
•在此日期之前,我们将向证书添加 CRL URL
•从此日期起,我们将从证书中删除 OCSP URL
•在此日期,所有请求(包括 OCSP Must Staple 扩展)都将失败

2025 年 8 月 6 日
•在此日期,我们将关闭 OCSP 响应器

目前确认新签发的证书中已包含 CRL_URL 且不再包含 OCSP_URL
检查证书中的 CRL_URL 结果如下

X509v3 CRL Distribution Points:
Full Name:
URI:http://e5.c.lencr.org/78.crl

结果发现 e5.c.lencr.org 这个域名在中国大陆已经被污染完全无法访问

Invoke-WebRequest : 基礎連接已關閉: 接收時發生未預期的錯誤。
位於 線路:1 字元:1
+ Invoke-WebRequest -Uri "http://e5.c.lencr.org/78.crl" -UseBasicParsin ...
+ ~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest],WebExce
ption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand





如果将目前的证书放 Nginx 用于 Web 是没什么问题的, 但是如果放在像是 Windows RDP 上, 连接就会警告:"无法执行凭证的撤销检查"

所以想请教下各位遇到这种情况下该怎么解呢, 总不能让所有 user 的客户端都挂 proxy

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Let's Encrypt OCSP CRL 证书吊销 中国大陆
相关文章