国内家宽访问 Cloudflare IP + TLSv1.2 + GTS 证书的问题

146 天前

ZeroClover

之前站内 /t/1043955 和 GitHub 上 https://github.com/net4people/bbs/issues/381 都有类似的问题，最近朋友遇到了就打算看看还有没有其他人有类似情况

通过 Cloudflare Advanced Certificate Manager 创建了多个不同品牌的证书，通过 cURL 进行测试

强制 TLSv1.2

curl --tls-max 1.2 --tlsv1.2 -v https://204.gts.tls13.me

强制 TLSv1.3

curl --tlsv1.3 -v https://204.gts.tls13.me

其他品牌证书

Let's Encrypt

curl --tls-max 1.2 --tlsv1.2 -v https://204.le.tls13.me

SSL.com

curl --tls-max 1.2 --tlsv1.2 -v https://204.ssl-com.tls13.me

我自己电信联通移动中只有联通宽带会在使用 TLSv1.2 访问 GTS CA 签发的证书时遇到阻断，并且会导致一段时间内对被阻断的 IP 完全无法 TLS 握手

2226 次点击

所在节点

宽带症候群

14 条回复

alect

146 天前

可能确实有问题，我这也是遇到过，gts 与 lets 的根都不咋样，
你如果有的选不如 ssl.com 。我最近也签了个 ssl 的代理，ssl.com 的根，还挺好用的。

xyz3210

146 天前

@alect 国内访问 cioudflare 的代理不卡吗？

kk2syc

146 天前

@xyz3210 大部分节点挺快的（笑死，cLoud ，不是 i ，cloud 云）

alect

146 天前

@xyz3210 一般般吧，凑活用没问题。

yyzh

146 天前

@xyz3210 挺好用的其实

146 天前

江西电信也会阻断这个组合，表现为 IP 阻断大约三到五分钟

ryd994

146 天前

@yyzh #5 付费企业版客户可以用的节点不一样。免费用户近期给的是英国节点。慢是有点慢的，但是还算可以接受。

yyzh

146 天前

@ryd994 可以 CF 优选 ip 嘛.麻烦点就是

mohumohu

146 天前

所以现在免费证书哪家强？

JensenQian

145 天前

cf 这个问题好久了
自己的域名话拿 api 换下就行了，但是 let‘s 证书兼容性不如谷歌的

自己家里的话倒是无所谓，加进代理完事了

maybeonly

145 天前

tls1.3 的服务器证书是加密的，墙看不见
现在用户不支持 tls1.3 的很少了（ cf 有分析，可以看自己网站的受众）
结论：暂时用 1.3 就好。
（猜测：可能是之间暴力检测证书中的 google 关键字了，然后你在访问 google ？那可不行）

julyclyde

145 天前

@alect 你这不算 root 吧？ root 是那个 AAA ？

alect

145 天前

@julyclyde 交叉根，实际上还有个 ssl.com 的根。

ZeroClover

145 天前

@maybeonly 实际上只有 GTS 新的 W 开头的中间证书会有这个问题，以前的 GTS 1DA 这种名字的中间证书没问题，证书的 O 字段一样写了 Google 关键词

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1096760

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.