V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
redsonic
V2EX  ›  SSL

OCSP 过期

  •  
  •   redsonic · 2016-12-12 21:15:25 +08:00 · 1667 次点击
    这是一个创建于 2906 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我把浏览器弄成了 OCSP 强验证然后就出问题了,访问 cdn.v2ex.co 提示证书被吊销, https://www.ssllabs.com/ssltest/analyze.html?d=cdn.v2ex.co 显示没有吊销,但提示 OCSP ERROR: OCSP response expired on Sun Dec 11 19:00:00 PST 2016 , 我抓包看确实 ocsp.int-x3.letsencrypt.org 的应答中 nextupdate 已经过期,时间就是 dec 11 19 : 00 PST 。 rfc2560 没说这个 nextupdate 怎么生成的,这算是 letsencrypt 的锅?

    怕是 ocsp 被流氓缓存了爬梯子访问结果一样。

    5 条回复    2016-12-13 00:12:55 +08:00
    redsonic
        1
    redsonic  
    OP
       2016-12-12 21:19:47 +08:00
    redsonic
        2
    redsonic  
    OP
       2016-12-12 23:02:05 +08:00
    是官方的锅, http://letsencrypt.status.io 已经标记了 ocsp.int-x3.letsencrypt.org 有问题。之前 chrome 说过 oscp 和 crl 机制是 broken 的, 这算是言中了 @Livid
    Showfom
        3
    Showfom  
       2016-12-12 23:54:51 +08:00
    所以浏览器不要弄 oscp 这东西还不是很完善
    redsonic
        4
    redsonic  
    OP
       2016-12-13 00:04:05 +08:00
    @Showfom 上次 GlobalSign 的事件因为 chrome 不用 oscp 和 crl 所以没受影响...
    Showfom
        5
    Showfom  
       2016-12-13 00:12:55 +08:00
    @redsonic 9494
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5429 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 08:21 · PVG 16:21 · LAX 00:21 · JFK 03:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.