Notice: file_put_contents(): Write of 7223 bytes failed with errno=28 No space left on device in /var/www/group-telegram/post.php on line 50

Warning: file_put_contents(): Only 16384 of 23607 bytes written, possibly out of free disk space in /var/www/group-telegram/post.php on line 50
Эшер II A+ | Telegram Webview: usher2/3658 -
Telegram Group & Telegram Channel
☝️ Роскомнадзор массово банит Cloudflare

🤡 OCSP/CRL у сертификатов Letsencrypt на домене, который терминируется в Cloudflare

🚬 Кто понял эти слова — напряглись :)

Вынесу из каментов (спасибо). Что означают эти пугающие слова 🙂

Коротко:
Роскомнадзор начал выборочно (а кое-где «массово») резать IP-сети Cloudflare.
У Let’s Encrypt все сервисы проверки отозванных сертификатов — OCSP (o.lencr.org) и CRL (c.lencr.org) — раздаются через домен lencr.org, который технически «подвешен» на узлах Cloudflare.
Когда трафик к Cloudflare режется, браузер или другое ПО в РФ не может дотянуться до этих URL-ов и узнать, не отозван ли сертификат. Отсюда паникуют те, кто понимает, что написано в твите 😉



1. Что такое OCSP и CRL

Аббревиатура Для чего нужна Как работает
CRL (Certificate Revocation List) «Телефонный справочник» уже отозванных сертификатов Крупный файл по HTTP•HTTPS, обновляется периодически
OCSP (Online Certificate Status Protocol) «Справочная по одному номеру» — точечный онлайн-запрос статуса Лёгкий HTTP-запрос к o.lencr.org, ответ подписан CA

Оба механизма нужны клиенту, чтобы удостовериться, что сертификат сайта ещё действителен и его не скомпрометировали.



2. Почему блок Cloudflare = проблемы с Let’s Encrypt
1. lencr.org обслуживается Cloudflare. Запросы к OCSP/CRL идут через IP-адреса AS13335.
2. РКН режет эти IP. Пользователи в ряде регионов РФ уже замечают, что «не открываются сайты/игры», особенно через провайдеров, применяющих DPI-фильтры.
3. Клиент не получает ответ от OCSP → статус «unknown». Большинство современных браузеровSoft-fail’ят (просто продолжают соединение), но:
• старый Windows, Java, OpenSSL с жёсткой политикой, корпоративные прокси/IDS могут завалить соединение;
• TLS-конфигурации с флагом OCSP Must-Staple упадут сразу.

Итог — где-то это просто предупреждение, а где-то полный «SSL-error».



3. Насколько всё критично
Для обычных браузеров — чаще всего заметите лишь задержку или отсутствие проблемы: Firefox/Chrome с 2012 г. делают soft-fail.
Предприятия, банки, гос-системы с «строгой» проверкой уже фиксируют сбои (почтовые клиенты, АПКИБ, IDS).
Серверы: если вы хозяин сайта и включите OCSP Stapling, клиенту ответ уже придёт в самом TLS-рукопожатии — запрос к Cloudflare не нужен.



4. Что можно сделать прямо сейчас

Для пользователей
* Подключить любой VPN/прокси, выводящий трафик за пределы РФ. * Во временном порядке отключить строгую проверку CRL/OCSP в антивирусе или прокси. *

Для администраторов сайтов
Включить OCSP Stapling и, при желании, резервный CA. * При жёстких требованиях перейти на CA, чьи OCSP-серверы не сидят на Cloudflare (например, Sectigo, DigiCert). * Следить за зеркалами lencr.org или кешировать OCSP локально.





5. А дальше?
• Let’s Encrypt уже объявил, что 6 августа 2025 полностью отключит свои OCSP-сервера; перед этим с 7 мая они перестанут вписывать OCSP-URL в новые сертификаты.
• Большинство браузеров перейдёт на механизм CRLite/OneCRL в фоновых обновлениях.
• Так что нынешняя проблема со временем «рассосётся» сама, но до августа сайты, требующие Must-Staple, останутся уязвимыми к блокировкам Cloudflare.
• РКН блокирует Cloudflare уже не впервые; предыдущие волны длились от часов до недель. Сейчас (середина июня 2025) блок всё ещё активен в Поволжье, Сибири и на Дальнем Востоке.



Главное

Твит пугает тех, кто знает термины, потому что цепочка выглядит так:

Блок Cloudflare → lencr.org недоступен → (OCSP/CRL) ревокация не проверяется → часть SSL-соединений падает.

Для рядового юзера это значит: используйте VPN или ждите, пока провайдеры (или РКН) откатят фильтр.
Для админов: включайте OCSP Stapling/CRLite или временно переключайтесь на иную CA, если сервис критичен.
5🥰140😢95😱50🤡2720🔥10🤯9😁5🤔5🤮5👍1



group-telegram.com/usher2/3658
Create:
Last Update:

☝️ Роскомнадзор массово банит Cloudflare

🤡 OCSP/CRL у сертификатов Letsencrypt на домене, который терминируется в Cloudflare

🚬 Кто понял эти слова — напряглись :)

Вынесу из каментов (спасибо). Что означают эти пугающие слова 🙂

Коротко:
Роскомнадзор начал выборочно (а кое-где «массово») резать IP-сети Cloudflare.
У Let’s Encrypt все сервисы проверки отозванных сертификатов — OCSP (o.lencr.org) и CRL (c.lencr.org) — раздаются через домен lencr.org, который технически «подвешен» на узлах Cloudflare.
Когда трафик к Cloudflare режется, браузер или другое ПО в РФ не может дотянуться до этих URL-ов и узнать, не отозван ли сертификат. Отсюда паникуют те, кто понимает, что написано в твите 😉



1. Что такое OCSP и CRL

Аббревиатура Для чего нужна Как работает
CRL (Certificate Revocation List) «Телефонный справочник» уже отозванных сертификатов Крупный файл по HTTP•HTTPS, обновляется периодически
OCSP (Online Certificate Status Protocol) «Справочная по одному номеру» — точечный онлайн-запрос статуса Лёгкий HTTP-запрос к o.lencr.org, ответ подписан CA

Оба механизма нужны клиенту, чтобы удостовериться, что сертификат сайта ещё действителен и его не скомпрометировали.



2. Почему блок Cloudflare = проблемы с Let’s Encrypt
1. lencr.org обслуживается Cloudflare. Запросы к OCSP/CRL идут через IP-адреса AS13335.
2. РКН режет эти IP. Пользователи в ряде регионов РФ уже замечают, что «не открываются сайты/игры», особенно через провайдеров, применяющих DPI-фильтры.
3. Клиент не получает ответ от OCSP → статус «unknown». Большинство современных браузеровSoft-fail’ят (просто продолжают соединение), но:
• старый Windows, Java, OpenSSL с жёсткой политикой, корпоративные прокси/IDS могут завалить соединение;
• TLS-конфигурации с флагом OCSP Must-Staple упадут сразу.

Итог — где-то это просто предупреждение, а где-то полный «SSL-error».



3. Насколько всё критично
Для обычных браузеров — чаще всего заметите лишь задержку или отсутствие проблемы: Firefox/Chrome с 2012 г. делают soft-fail.
Предприятия, банки, гос-системы с «строгой» проверкой уже фиксируют сбои (почтовые клиенты, АПКИБ, IDS).
Серверы: если вы хозяин сайта и включите OCSP Stapling, клиенту ответ уже придёт в самом TLS-рукопожатии — запрос к Cloudflare не нужен.



4. Что можно сделать прямо сейчас

Для пользователей
* Подключить любой VPN/прокси, выводящий трафик за пределы РФ. * Во временном порядке отключить строгую проверку CRL/OCSP в антивирусе или прокси. *

Для администраторов сайтов
Включить OCSP Stapling и, при желании, резервный CA. * При жёстких требованиях перейти на CA, чьи OCSP-серверы не сидят на Cloudflare (например, Sectigo, DigiCert). * Следить за зеркалами lencr.org или кешировать OCSP локально.





5. А дальше?
• Let’s Encrypt уже объявил, что 6 августа 2025 полностью отключит свои OCSP-сервера; перед этим с 7 мая они перестанут вписывать OCSP-URL в новые сертификаты.
• Большинство браузеров перейдёт на механизм CRLite/OneCRL в фоновых обновлениях.
• Так что нынешняя проблема со временем «рассосётся» сама, но до августа сайты, требующие Must-Staple, останутся уязвимыми к блокировкам Cloudflare.
• РКН блокирует Cloudflare уже не впервые; предыдущие волны длились от часов до недель. Сейчас (середина июня 2025) блок всё ещё активен в Поволжье, Сибири и на Дальнем Востоке.



Главное

Твит пугает тех, кто знает термины, потому что цепочка выглядит так:

Блок Cloudflare → lencr.org недоступен → (OCSP/CRL) ревокация не проверяется → часть SSL-соединений падает.

Для рядового юзера это значит: используйте VPN или ждите, пока провайдеры (или РКН) откатят фильтр.
Для админов: включайте OCSP Stapling/CRLite или временно переключайтесь на иную CA, если сервис критичен.

BY Эшер II A+


Warning: Undefined variable $i in /var/www/group-telegram/post.php on line 260

Share with your friend now:
group-telegram.com/usher2/3658

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

The gold standard of encryption, known as end-to-end encryption, where only the sender and person who receives the message are able to see it, is available on Telegram only when the Secret Chat function is enabled. Voice and video calls are also completely encrypted. Founder Pavel Durov says tech is meant to set you free To that end, when files are actively downloading, a new icon now appears in the Search bar that users can tap to view and manage downloads, pause and resume all downloads or just individual items, and select one to increase its priority or view it in a chat. Telegram has become more interventionist over time, and has steadily increased its efforts to shut down these accounts. But this has also meant that the company has also engaged with lawmakers more generally, although it maintains that it doesn’t do so willingly. For instance, in September 2021, Telegram reportedly blocked a chat bot in support of (Putin critic) Alexei Navalny during Russia’s most recent parliamentary elections. Pavel Durov was quoted at the time saying that the company was obliged to follow a “legitimate” law of the land. He added that as Apple and Google both follow the law, to violate it would give both platforms a reason to boot the messenger from its stores. On Feb. 27, however, he admitted from his Russian-language account that "Telegram channels are increasingly becoming a source of unverified information related to Ukrainian events."
from us


Telegram Эшер II A+
FROM American