V2EX 网友发现 Let’s Encrypt 证书所依赖的证书吊销列表(CRL)服务器域名在中国大陆遭到完全屏蔽。发帖人通过 curl 命令演示,在访问使用 Let’s Encrypt 证书的网站时,由于客户端无法连接到被墙的 CRL 服务器来验证证书是否已被吊销,导致 TLS 握手失败,并返回“吊销服务器离线”的错误。这是独立于今天凌晨443端口大阻断事件之外的一个新问题。
由于Let’s Encrypt免费证书应用广泛,将会影响部分对安全要求较高的桌面或移动应用程序,如果其网络堆栈强制检查 CRL,则可能无法正常访问相关服务。但对于大多数普通用户的日常网页浏览影响较小,因为主流浏览器通常不采用实时在线检查 CRL 的方式。而是通过“CRLSet”的机制批量下发已知的被吊销证书信息。
尽管如此,对于国内网站和开发者来说,这仍是一个潜在的稳定性和可访问性风险。
[消息等级 Level C2 · 简要]