OCSP 过期 - V2EX

Home Sign Up Sign In

Let's Encrypt

› Certbot 使用文档

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

This topic created in 3462 days ago, the information mentioned may be changed or developed.

我把浏览器弄成了 OCSP 强验证然后就出问题了，访问 cdn.v2ex.co 提示证书被吊销， https://www.ssllabs.com/ssltest/analyze.html?d=cdn.v2ex.co 显示没有吊销，但提示 OCSP ERROR: OCSP response expired on Sun Dec 11 19:00:00 PST 2016 ，我抓包看确实 ocsp.int-x3.letsencrypt.org 的应答中 nextupdate 已经过期，时间就是 dec 11 19 ： 00 PST 。 rfc2560 没说这个 nextupdate 怎么生成的，这算是 letsencrypt 的锅？

怕是 ocsp 被流氓缓存了爬梯子访问结果一样。

5 replies • 2016-12-13 00:12:55 +08:00

1

redsonic

OP

Dec 12, 2016

2

redsonic

OP

Dec 12, 2016

是官方的锅， http://letsencrypt.status.io 已经标记了 ocsp.int-x3.letsencrypt.org 有问题。之前 chrome 说过 oscp 和 crl 机制是 broken 的，这算是言中了 @Livid

3

Showfom

PRO

Dec 12, 2016

所以浏览器不要弄 oscp 这东西还不是很完善

4

redsonic

OP

Dec 13, 2016

@Showfom 上次 GlobalSign 的事件因为 chrome 不用 oscp 和 crl 所以没受影响...

5

Showfom

PRO

Dec 13, 2016

About · Help · Advertise · Blog · API · FAQ · Solana · 2998 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 34ms · UTC 08:31 · PVG 16:31 · LAX 01:31 · JFK 04:31
♥ Do have faith in what you're doing.