☝️ Роскомнадзор массово банит Cloudflare
🤡 OCSP/CRL у сертификатов Letsencrypt на домене, который терминируется в Cloudflare
🚬 Кто понял эти слова — напряглись :)
Вынесу из каментов (спасибо). Что означают эти пугающие слова 🙂
Коротко:
Роскомнадзор начал выборочно (а кое-где «массово») резать IP-сети Cloudflare.
У Let’s Encrypt все сервисы проверки отозванных сертификатов — OCSP (o.lencr.org) и CRL (c.lencr.org) — раздаются через домен lencr.org, который технически «подвешен» на узлах Cloudflare.
Когда трафик к Cloudflare режется, браузер или другое ПО в РФ не может дотянуться до этих URL-ов и узнать, не отозван ли сертификат. Отсюда паникуют те, кто понимает, что написано в твите 😉
⸻
1. Что такое OCSP и CRL
Аббревиатура Для чего нужна Как работает
CRL (Certificate Revocation List) «Телефонный справочник» уже отозванных сертификатов Крупный файл по HTTP•HTTPS, обновляется периодически
OCSP (Online Certificate Status Protocol) «Справочная по одному номеру» — точечный онлайн-запрос статуса Лёгкий HTTP-запрос к o.lencr.org, ответ подписан CA
Оба механизма нужны клиенту, чтобы удостовериться, что сертификат сайта ещё действителен и его не скомпрометировали.
⸻
2. Почему блок Cloudflare = проблемы с Let’s Encrypt
1. lencr.org обслуживается Cloudflare. Запросы к OCSP/CRL идут через IP-адреса AS13335.
2. РКН режет эти IP. Пользователи в ряде регионов РФ уже замечают, что «не открываются сайты/игры», особенно через провайдеров, применяющих DPI-фильтры.
3. Клиент не получает ответ от OCSP → статус «unknown». Большинство современных браузеровSoft-fail’ят (просто продолжают соединение), но:
• старый Windows, Java, OpenSSL с жёсткой политикой, корпоративные прокси/IDS могут завалить соединение;
• TLS-конфигурации с флагом OCSP Must-Staple упадут сразу.
Итог — где-то это просто предупреждение, а где-то полный «SSL-error».
⸻
3. Насколько всё критично
• Для обычных браузеров — чаще всего заметите лишь задержку или отсутствие проблемы: Firefox/Chrome с 2012 г. делают soft-fail.
• Предприятия, банки, гос-системы с «строгой» проверкой уже фиксируют сбои (почтовые клиенты, АПКИБ, IDS).
• Серверы: если вы хозяин сайта и включите OCSP Stapling, клиенту ответ уже придёт в самом TLS-рукопожатии — запрос к Cloudflare не нужен.
⸻
4. Что можно сделать прямо сейчас
Для пользователей
* Подключить любой VPN/прокси, выводящий трафик за пределы РФ. * Во временном порядке отключить строгую проверку CRL/OCSP в антивирусе или прокси. *
Для администраторов сайтов
Включить OCSP Stapling и, при желании, резервный CA. * При жёстких требованиях перейти на CA, чьи OCSP-серверы не сидят на Cloudflare (например, Sectigo, DigiCert). * Следить за зеркалами lencr.org или кешировать OCSP локально.
⸻
5. А дальше?
• Let’s Encrypt уже объявил, что 6 августа 2025 полностью отключит свои OCSP-сервера; перед этим с 7 мая они перестанут вписывать OCSP-URL в новые сертификаты.
• Большинство браузеров перейдёт на механизм CRLite/OneCRL в фоновых обновлениях.
• Так что нынешняя проблема со временем «рассосётся» сама, но до августа сайты, требующие Must-Staple, останутся уязвимыми к блокировкам Cloudflare.
• РКН блокирует Cloudflare уже не впервые; предыдущие волны длились от часов до недель. Сейчас (середина июня 2025) блок всё ещё активен в Поволжье, Сибири и на Дальнем Востоке.
⸻
Главное
Твит пугает тех, кто знает термины, потому что цепочка выглядит так:
Блок Cloudflare → lencr.org недоступен → (OCSP/CRL) ревокация не проверяется → часть SSL-соединений падает.
Для рядового юзера это значит: используйте VPN или ждите, пока провайдеры (или РКН) откатят фильтр.
Для админов: включайте OCSP Stapling/CRLite или временно переключайтесь на иную CA, если сервис критичен.
🤡 OCSP/CRL у сертификатов Letsencrypt на домене, который терминируется в Cloudflare
🚬 Кто понял эти слова — напряглись :)
Вынесу из каментов (спасибо). Что означают эти пугающие слова 🙂
Коротко:
Роскомнадзор начал выборочно (а кое-где «массово») резать IP-сети Cloudflare.
У Let’s Encrypt все сервисы проверки отозванных сертификатов — OCSP (o.lencr.org) и CRL (c.lencr.org) — раздаются через домен lencr.org, который технически «подвешен» на узлах Cloudflare.
Когда трафик к Cloudflare режется, браузер или другое ПО в РФ не может дотянуться до этих URL-ов и узнать, не отозван ли сертификат. Отсюда паникуют те, кто понимает, что написано в твите 😉
⸻
1. Что такое OCSP и CRL
Аббревиатура Для чего нужна Как работает
CRL (Certificate Revocation List) «Телефонный справочник» уже отозванных сертификатов Крупный файл по HTTP•HTTPS, обновляется периодически
OCSP (Online Certificate Status Protocol) «Справочная по одному номеру» — точечный онлайн-запрос статуса Лёгкий HTTP-запрос к o.lencr.org, ответ подписан CA
Оба механизма нужны клиенту, чтобы удостовериться, что сертификат сайта ещё действителен и его не скомпрометировали.
⸻
2. Почему блок Cloudflare = проблемы с Let’s Encrypt
1. lencr.org обслуживается Cloudflare. Запросы к OCSP/CRL идут через IP-адреса AS13335.
2. РКН режет эти IP. Пользователи в ряде регионов РФ уже замечают, что «не открываются сайты/игры», особенно через провайдеров, применяющих DPI-фильтры.
3. Клиент не получает ответ от OCSP → статус «unknown». Большинство современных браузеровSoft-fail’ят (просто продолжают соединение), но:
• старый Windows, Java, OpenSSL с жёсткой политикой, корпоративные прокси/IDS могут завалить соединение;
• TLS-конфигурации с флагом OCSP Must-Staple упадут сразу.
Итог — где-то это просто предупреждение, а где-то полный «SSL-error».
⸻
3. Насколько всё критично
• Для обычных браузеров — чаще всего заметите лишь задержку или отсутствие проблемы: Firefox/Chrome с 2012 г. делают soft-fail.
• Предприятия, банки, гос-системы с «строгой» проверкой уже фиксируют сбои (почтовые клиенты, АПКИБ, IDS).
• Серверы: если вы хозяин сайта и включите OCSP Stapling, клиенту ответ уже придёт в самом TLS-рукопожатии — запрос к Cloudflare не нужен.
⸻
4. Что можно сделать прямо сейчас
Для пользователей
* Подключить любой VPN/прокси, выводящий трафик за пределы РФ. * Во временном порядке отключить строгую проверку CRL/OCSP в антивирусе или прокси. *
Для администраторов сайтов
Включить OCSP Stapling и, при желании, резервный CA. * При жёстких требованиях перейти на CA, чьи OCSP-серверы не сидят на Cloudflare (например, Sectigo, DigiCert). * Следить за зеркалами lencr.org или кешировать OCSP локально.
⸻
5. А дальше?
• Let’s Encrypt уже объявил, что 6 августа 2025 полностью отключит свои OCSP-сервера; перед этим с 7 мая они перестанут вписывать OCSP-URL в новые сертификаты.
• Большинство браузеров перейдёт на механизм CRLite/OneCRL в фоновых обновлениях.
• Так что нынешняя проблема со временем «рассосётся» сама, но до августа сайты, требующие Must-Staple, останутся уязвимыми к блокировкам Cloudflare.
• РКН блокирует Cloudflare уже не впервые; предыдущие волны длились от часов до недель. Сейчас (середина июня 2025) блок всё ещё активен в Поволжье, Сибири и на Дальнем Востоке.
⸻
Главное
Твит пугает тех, кто знает термины, потому что цепочка выглядит так:
Блок Cloudflare → lencr.org недоступен → (OCSP/CRL) ревокация не проверяется → часть SSL-соединений падает.
Для рядового юзера это значит: используйте VPN или ждите, пока провайдеры (или РКН) откатят фильтр.
Для админов: включайте OCSP Stapling/CRLite или временно переключайтесь на иную CA, если сервис критичен.
45 922
17 июня
