原因:
·通过IPv6 DNS解析获得的GlobalSign OCSP证书服务器地址不可用
在访问GlobalSign的OCSP服务时,操作系统默认优先使用IPv6的DNS解析域名。由于GlobalSign的OCSP服务器并没有双栈,即使是IPv6的DNS,返回的也是IPv4的地址。
但有些时候,返回的地址并不可用。实际上,即使是使用IPv4的DNS,不同时候解析到的地址也不同。在基于DNS轮询的负载均衡下,这本是很常见的事,但通过实测发现,(*在我的网络环境下)除了首选地址外,其余的都几乎无法连通。
问题就出于IPv4的DNS解析得到的首选地址与IPv6 DNS所得到的不同,而当后者无法正常连通时,网站证书无法得到验证,因此一直处于“正在建立安全连接”的状态。
解决方法:
·使用运营提供的DNS
如果你自行修改过网络配置,使用了IPv6的公共DNS,请换回运营商提供的DNS。
实际上,在现阶段(19年9月),绝大部分情况下使用运营商的DNS才是最优的。现有的IPv6公共DNS连通性往往较差,这需要等到IPv6骨干网成熟后才能改善。这也是大型的云服务提供商一直没有推出IPv6公共DNS的原因。
·给IPv6配置IPv4的DNS
很遗憾的是,即使使用运营商提供的DNS,这个问题仍然有可能存在。
目前较完美的解决方法是通过IPv4映射地址,把现有的优质IPv4 DNS作为IPv6网络的首选DNS。
IPv4和IPv6的DNS,实际上只是使用的网络不同,其内容本身是没有区别的。IPv6的DNS能够返回IPv4的地址(A记录),同样IPv4的DNS也可以返回IPv6的地址(AAAA记录)。
具体操作在楼下贴出。
·通过IPv6 DNS解析获得的GlobalSign OCSP证书服务器地址不可用
在访问GlobalSign的OCSP服务时,操作系统默认优先使用IPv6的DNS解析域名。由于GlobalSign的OCSP服务器并没有双栈,即使是IPv6的DNS,返回的也是IPv4的地址。
但有些时候,返回的地址并不可用。实际上,即使是使用IPv4的DNS,不同时候解析到的地址也不同。在基于DNS轮询的负载均衡下,这本是很常见的事,但通过实测发现,(*在我的网络环境下)除了首选地址外,其余的都几乎无法连通。
问题就出于IPv4的DNS解析得到的首选地址与IPv6 DNS所得到的不同,而当后者无法正常连通时,网站证书无法得到验证,因此一直处于“正在建立安全连接”的状态。
解决方法:
·使用运营提供的DNS
如果你自行修改过网络配置,使用了IPv6的公共DNS,请换回运营商提供的DNS。
实际上,在现阶段(19年9月),绝大部分情况下使用运营商的DNS才是最优的。现有的IPv6公共DNS连通性往往较差,这需要等到IPv6骨干网成熟后才能改善。这也是大型的云服务提供商一直没有推出IPv6公共DNS的原因。
·给IPv6配置IPv4的DNS
很遗憾的是,即使使用运营商提供的DNS,这个问题仍然有可能存在。
目前较完美的解决方法是通过IPv4映射地址,把现有的优质IPv4 DNS作为IPv6网络的首选DNS。
IPv4和IPv6的DNS,实际上只是使用的网络不同,其内容本身是没有区别的。IPv6的DNS能够返回IPv4的地址(A记录),同样IPv4的DNS也可以返回IPv6的地址(AAAA记录)。
具体操作在楼下贴出。