V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
loginv2
V2EX  ›  DNS

Let’s Encrypt 的证书国内访问的问题

  •  
  •   loginv2 · 2018-01-07 14:38:54 +08:00 · 10648 次点击
    这是一个创建于 2510 天前的主题,其中的信息可能已经有所发展或是发生改变。

    申请了一个 Let ’ s Encrypt 的证书用在阿里云新加坡的 ECS 上

    用公司办公网络访问发现 HTTPS 打不开 但是 HTTP 是好的。翻到外面 HTTPS 也好

    一开始以为是证书问题,后来思考了一下。打开手机热点 共享给电脑 发现 HTTPS 也是好的

    于是本机架了一个 DNS 然后远端走代理,把本机 DNS 设置成 127.0.0.1

    正常了,WTF。

    23 条回复    2018-01-08 10:32:28 +08:00
    yatesun
        1
    yatesun  
       2018-01-07 14:42:48 +08:00
    要学会问问题,打不开是什么状况,有什么提示,证书有显示吗,证书是啥,有没有 HTTP 错误码
    chroming
        2
    chroming  
       2018-01-07 14:45:29 +08:00
    DNS 缓存还没完全更新吧
    sundayhk
        3
    sundayhk  
       2018-01-07 14:46:46 +08:00 via Android
    缓存问题吧
    roychan
        4
    roychan  
       2018-01-07 14:49:32 +08:00
    感觉不同的证书用起来确实有点差异,但是又说不出来具体是什么。记得多年以前是出现过所有 StartSSL 免费证书都被屏蔽的事件。
    eaglexiang
        5
    eaglexiang  
       2018-01-07 14:56:42 +08:00
    不是缓存问题,因为服务器本身没有变动。单纯代理了 DNS 解析就解决问题了,大概是因为 DNS 劫持吧
    doubleflower
        6
    doubleflower  
       2018-01-07 15:16:46 +08:00
    你打不开自已的用了 let's encrypt 的 https 网站,那能打开不用这个的 https 网站吗?


    我之前的网站也用了 let's encrypt,各地很多用户反映打不开(少数用户),我只能去掉强制 https。我没有深入调查是否是 let's encrypt 的原因。
    loginv2
        7
    loginv2  
    OP
       2018-01-07 16:32:30 +08:00 via Android
    @yatesun 并不是问问题,仅仅吐槽而已,至于状态,没状态,根本没发出去请求,和断网一样,证书没出现
    loginv2
        8
    loginv2  
    OP
       2018-01-07 16:33:16 +08:00 via Android
    @doubleflower 没有别的站,没法测试
    loginv2
        9
    loginv2  
    OP
       2018-01-07 16:35:12 +08:00 via Android
    @sundayhk
    @chroming 我清过缓存,感觉仅仅是 dns 劫持。
    loginv2
        10
    loginv2  
    OP
       2018-01-07 16:38:23 +08:00 via Android
    @doubleflower 看错了,其他证书的 https 是正常的。
    Showfom
        11
    Showfom  
       2018-01-07 16:44:14 +08:00 via iPhone
    你们办公室网络请求 CA 的时候有问题呗
    loginv2
        12
    loginv2  
    OP
       2018-01-07 16:47:19 +08:00 via Android
    @Showfom 是的,我老家的网也这个问题。
    sundayhk
        13
    sundayhk  
       2018-01-07 17:21:58 +08:00 via Android
    @loginv2 也有可能是 dns 运营商的缓存。明天估计正常了。
    joshu
        14
    joshu  
       2018-01-07 18:13:42 +08:00 via Android
    是 TLS 协商时,客户端的 client hello 包发出去但是对端没收到,对应的,如果 client hello 阶段不带 SNI 字段则收发正常
    坐标北京,运营商电信或电信通(校园出口)
    对端阿里 HKB
    这个问题时有时无,而且我连接过邻居 ip 的 443 端口,发现非 le 签发的证书同样存在这个问题,所以我觉得不是 le 的问题
    msg7086
        15
    msg7086  
       2018-01-07 18:41:54 +08:00
    ocsp stapling 的问题?
    sangmingming
        16
    sangmingming  
       2018-01-07 19:19:19 +08:00
    我也是这个问题。http 正常,https 不正常。准备重新在国内备案了。在国内服务器 Let ’ s Encrypt 的证书,https 就是正常的。
    moult
        17
    moult  
       2018-01-07 19:31:35 +08:00 via iPhone
    用 openssl 的 s_client 看看,哪一步出问题。
    Showfom
        18
    Showfom  
       2018-01-07 21:14:12 +08:00 via iPhone
    @loginv2 试试其他证书吧 国内线路好的就 GlobalSign 了 因为他们用的百度云
    caola
        19
    caola  
       2018-01-07 22:24:31 +08:00
    免费的还可以使用 TrustAsia 啊,因为很多国人在使用,可以到 freessl.org 免费申请。
    a2213108
        20
    a2213108  
       2018-01-07 22:39:48 +08:00 via Android
    @Showfom 其实是 cloudflare 的 China Network
    pubby
        21
    pubby  
       2018-01-08 00:33:26 +08:00
    也碰到过,跟 @joshu 一样的情况

    当时从阿里云新加坡机房换到阿里云香港,还是一样的问题。

    后来其他服务商找了个 us 的 vps 就没问题了。

    当时是电信线路有问题,换中国移动就没问题,怀疑中间某个设备在做 SNI 域名识别
    KoleHank
        22
    KoleHank  
       2018-01-08 09:13:07 +08:00
    国内的阿里云用 letsencrypt 的证书,国内访问没问题啊,电信网络。
    photon006
        23
    photon006  
       2018-01-08 10:32:28 +08:00
    有个工具叫 caddy,你试下
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4046 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:00 · PVG 09:00 · LAX 17:00 · JFK 20:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.