我把浏览器弄成了 OCSP 强验证然后就出问题了,访问 cdn.v2ex.co 提示证书被吊销, https://www.ssllabs.com/ssltest/analyze.html?d=cdn.v2ex.co 显示没有吊销,但提示 OCSP ERROR: OCSP response expired on Sun Dec 11 19:00:00 PST 2016 , 我抓包看确实 ocsp.int-x3.letsencrypt.org 的应答中 nextupdate 已经过期,时间就是 dec 11 19 : 00 PST 。 rfc2560 没说这个 nextupdate 怎么生成的,这算是 letsencrypt 的锅?
怕是 ocsp 被流氓缓存了爬梯子访问结果一样。
2
redsonic OP 是官方的锅, http://letsencrypt.status.io 已经标记了 ocsp.int-x3.letsencrypt.org 有问题。之前 chrome 说过 oscp 和 crl 机制是 broken 的, 这算是言中了 @Livid
|
3
Showfom 2016-12-12 23:54:51 +08:00
所以浏览器不要弄 oscp 这东西还不是很完善
|