浏览器在首次建立 https 连接时,会去验证证书的有效性,而 Let's Encrypt 验证有效性的 OSCP 域名被墙了。
可以在 https://ping.chinaz.com/ 测试 Let's Encrypt 的 OSCP 域名: ocsp.int-x3.letsencrypt.org 可以看到基本都是 ping 不通了。(这都能被墙,真有点可恶啊,我折腾了好几天网站打开慢的原因,原来是 OSCP 被墙了。)
就我目前看其他打开很快的 https 网站,用的是 Symantec 。阿里云可以免费申请到,但只能单域名,每年还要手动重新部署一次。
想问问有没有其他更方便的域名签发机制?
另外,OSCP 域名被墙虽然可以使用 stapling,向浏览器发送证书链信息而不去请求 OSCP,但并非所有浏览器都支持,兼容性又是一大问题。
(都 2020 了,怎么这种问题会这么多呢。墙真是越来越厉害了)
 |
1
Rxianbei Apr 24, 2020
还能把这种互联网基础服务给墙,简直了
|
 |
2
AoTmmy Apr 24, 2020 via Android  1
火星救援,刻不容缓
|
 |
3
eason1874 Apr 24, 2020 1
前些天在别的帖子看到别人的测试,结论记不清了,好像是 chrome 不验证,firefox 验证失败只卡 2 秒,只有 IE 会卡十几二十秒,用 OCSP Stapling 可以解决这个问题,确保服务器能正常解析就行。
OCSP Stapling 浏览器支持还是不错的,Firefox 26 开始支持,IE 是 Vista 系统开始支持,Chrome 也支持好多年了。 |
 |
4
tf141 Apr 24, 2020
还好用的赛门铁克
|
 |
5
X-Force Apr 25, 2020
似乎只能开 OCSP Stapling,并改 hosts 缓解了
|
 |
6
Lws OP @eason1874
我就是 PC 的 Chrome(81.0.4044.122)浏览器,没过一段时间访问就要卡 10 秒。 我发现 IOS 的 Chrome 的也不行。 另外,站点如果有文件要下载,基本所有下载器都不兼容 Stapling 的。 |
 |
11
seanpan Nov 27, 2020
我也遇到了,首次访问首页的时候回响应三四秒才行。找了好久资料都没找到原因。实锤了
|
Select Language