根据 Let's Encrypt 给出的时间线
https://letsencrypt.org/2024/12/05/ending-ocsp/
2025 年 1 月 30 日
•OCSP Must-Staple 请求将会失败,除非请求账户之前已颁发包含 OCSP Must Staple 扩展的证书
2025 年 5 月 7 日
•在此日期之前,我们将向证书添加 CRL URL
•从此日期起,我们将从证书中删除 OCSP URL
•在此日期,所有请求(包括 OCSP Must Staple 扩展)都将失败
2025 年 8 月 6 日
•在此日期,我们将关闭 OCSP 响应器
目前确认新签发的证书中已包含 CRL_URL 且不再包含 OCSP_URL
检查证书中的 CRL_URL 结果如下
X509v3 CRL Distribution Points:
Full Name:
URI:http://e5.c.lencr.org/78.crl
结果发现 e5.c.lencr.org 这个域名在中国大陆已经被污染完全无法访问
Invoke-WebRequest : 基礎連接已關閉: 接收時發生未預期的錯誤。
位於 線路:1 字元:1
+ Invoke-WebRequest -Uri "http://e5.c.lencr.org/78.crl" -UseBasicParsin ...
+ ~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest],WebExce
ption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand
如果将目前的证书放 Nginx 用于 Web 是没什么问题的, 但是如果放在像是 Windows RDP 上, 连接就会警告:"无法执行凭证的撤销检查"
所以想请教下各位遇到这种情况下该怎么解呢, 总不能让所有 user 的客户端都挂 proxy