Let’s Encrypt的某个OSCP域名被GFW污染导致访问缓慢的解决办法

2020年9月8日10:02:50 评论 11 765字阅读2分33秒

Let's Encrypt的某个OSCP域名被GFW污染导致访问缓慢的解决办法

前言

前段时间,有V2EX的网友发现地处国内的服务器无法正常申请和续期Let's Encrypt的免费证书,

最后查找原因,Let's Encrypt的一个OSCP域名ocsp.int-x3.letsencrypt.org被GFW污染,解析到了以31开头的FaceBook的IP,而不是使用Akamai CDN的Let's Encrypt的OSCP服务器上,国内无法访问导致无法验证。

今天我才想起来我的网站也是Let's Encrypt的证书。

虽然chrome不验证,就影响不大,但是对iOS及IE用户还是有影响,于是也就解决以下。

解决办法

0.购买通用域名

没钱,不予考虑此办法。

1.使用国内大厂提供的免费单域名证书

免费,可以直接在域名控制台直接申请下载。

不过由于是单域名证书,每个域名都需要申请对应的证书,在一台服务器上部署多个服务时会有问题。只建站是没有问题的。

我的域名解析放在dnspod,所以我选用的是此方法。

2.开启 OCSP Stapling

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/mysite.com/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 216.146.35.35 216.146.36.36 valid=60s;
resolver_timeout 2s;

#### 或者 ####
ssl_stapling on;
ssl_stapling_verify on;
ssl_stapling_file /path/to/ocsp_res.crt;

查看OCSP Stapling具体配置可以前往https://blog.xmgspace.me/archives/lets-encrypt-ocsp.html

  • 本文由 发表于 2020年9月8日10:02:50
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接