设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 关于 Let's Encrypt 中间证书更换为 R3 相关问题的说明 ...
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
12
返回列表 发新帖
楼主: iks

关于 Let's Encrypt 中间证书更换为 R3 相关问题的说明

[复制链接]
ontochom
发表于 2020-12-3 01:04:52 | 显示全部楼层
本帖最后由 ontochom 于 2020-12-3 01:17 编辑

1. 是CRL和OCSP都变了,原因是Let's Encrypt现在域名太长, 缩短点可以节省包大小(为站长省流量费)
    Let's Encrypt出问题的OCSP是Akamai那边节点问题(节点解析被污染了), OCSP查CNAME退回的是正常值。
    因为Let's Encrypt换了域名但是还没换Akamai节点, 很可能这污染问题还是存在
2. 原因是大部分用户浏览器根本不查OCSP, 只有一部分浏览器检查. 加上CA/B规则现在允许中间证书只使用CRL没有OCSP了。
3. 即将支持签发纯ECC链的终端证书, 但是现在还未投入使用(原因: 根证书还没被信任, Boulder测试还没完成), 签发还在使用RSA R3
    另外, ISRG Root X2没有和Identrust那张TrustID CA签名!!! X2理论来说会签一条纯ECC链, 但是在还没有完成全球信任的情况下会由ISRG Root X1对ISRG Root X2进行签名, 生成一个RSA(根) -> ECC(根)  -> ECC(中间)  -> ECC(终端)的证书链

证书结构图示链接: https://letsencrypt.org/certs/isrg-hierarchy-2020.png
回复 支持 反对

举报

我y零kk
发表于 2020-12-3 01:11:57 | 显示全部楼层
iks 发表于 2020-12-3 01:04
前述,四月份的事,当时很疑惑为什么会出现递归正常而最接近client的域名解析被污染

对于高墙当局针对 L ...

让用户放弃Let's Encrypt看上去并没有获利方,而且OCSP的影响也仅限于若干秒打不开,并不是一个致命性的问题;我们学校的官网就在使用LE的证书,当然不知道学校怎么想的

再者诸如ACME支持的ZeroSSL也提供和LE几乎功能相近的免费证书以及像Buypass这样的6个月单域名证书,特别是Buypass同样使用的Akamai的CDN,这些都没有受到影响,即使换到这些也没有给任何人带来利益

回复 支持 反对

举报

腿毛飘飘
发表于 2020-12-3 01:17:43 | 显示全部楼层
ROOT X1 已经签出来好几年了,进了大部分系统,ROOT X2当时为什么不一起签出来? 奇怪。

点评

ontochom
因为他们当时没打算立刻部署ECC链. 而且这种我们以前一直反馈的是要纯ECC. Identrust是不会愿意给签X2根证书的(只可能签中间证书)  发表于 2020-12-3 01:31
回复 支持 反对

举报

iks
 楼主| 发表于 2020-12-3 01:23:35 | 显示全部楼层
我y零kk 发表于 2020-12-3 01:11
让用户放弃Let's Encrypt看上去并没有获利方,而且OCSP的影响也仅限于若干秒打不开,并不是一个致命性的 ...


同意。因此我只是认为高墙当局打压 Let's Encrypt 的说法只算作阴谋论而已
至于你们学校的证书,比较建议买 RapidSSL 或者 GlobalSign OV,前者很多大学都在用,后者是我亲嘴安利给网管会的
回复 支持 反对

举报

iks
 楼主| 发表于 2020-12-3 01:31:56 | 显示全部楼层
ontochom 发表于 2020-12-3 01:04
1. 是CRL和OCSP都变了,原因是Let's Encrypt现在域名太长, 缩短点可以节省包大小(为站长省流量费)
    L ...

感谢。
根据3楼和自测,新OCSP域名指向的 CNAME 和之前不一样,响应也是正常的。
2,3 已经解释了
回复 支持 反对

举报

iks
 楼主| 发表于 2020-12-3 01:33:18 | 显示全部楼层
h20 发表于 2020-12-3 00:57
说人话,我看不懂,重写请求

我选择 close 掉你的 request
回复 支持 反对

举报

腿毛飘飘
发表于 2020-12-3 03:26:22 | 显示全部楼层
@ontochom  identrust 当年也没签ROOT X1。

而且他们很早之前,大概是开始签证书半年左右,就说了要搞ecc根,但一直都是用identrust签的中间证书
x1,后来改成x3。 后来各大os,浏览器纷纷收入了ISRG ROOT X1,才有了最近identrust的根快到期,他们
准备独立自主切换到ISRG ROOT.

要是当初早早的把ECC 根证书和root x1 一起去跟os申请,现在不是可以用了。
回复 支持 反对

举报

我不是戏精
发表于 2020-12-3 05:45:19 | 显示全部楼层
已经用上r3了
回复 支持 反对

举报

iks
 楼主| 发表于 2020-12-3 12:11:56 | 显示全部楼层
本帖最后由 iks 于 2020-12-3 12:13 编辑
腿毛飘飘 发表于 2020-12-3 01:17
ROOT X1 已经签出来好几年了,进了大部分系统,ROOT X2当时为什么不一起签出来? 奇怪。  ...


ISGR 成立之初自签发 ISRG Root X1 的时候并未考虑要搞 ECC,后来因为获得了 IdenTrust 的支持,IdenTrust 使用老根 DST ROOT X3 为其 Let's Encrypt Authority X[1-4] 背书之后才使得 Let's Encrypt 获得飞速发展
当初 Let's Encrypt 只同意让 DST ROOT X3 为其 Let's Encrypt Authority X[1-4] 背书而没有给 ISRG Root X1 背书

点评

ontochom
作为独立CA, Identrust也够呛会给根证书背书(需要的手续太多了) 而且毕竟是可以签发其他中间证书的CA....  发表于 2020-12-4 21:56
回复 支持 反对

举报

iks
 楼主| 发表于 2020-12-3 12:22:41 | 显示全部楼层
ontochom 发表于 2020-12-3 01:04
1. 是CRL和OCSP都变了,原因是Let's Encrypt现在域名太长, 缩短点可以节省包大小(为站长省流量费)
    L ...

Let's Encrypt CA/PKI 证书结构示意图已经翻译贴到主题了
回复 支持 1 反对 0

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-5-7 14:55 , Processed in 0.088887 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表