Несмотря на то, что stapling не заявлен как обязательная фича, без неё сервер сыпет “REALITY: processed invalid connection”. Я проверял разные варианты, ничего не меняя в конфигурациях клиента и сервера, кроме SNI :
чужой или свой домен с LE-сертификатом - не работает;
чужой домен с любым OCSP-сертификатом - работает;
свой домен с OCSP-сертификатом - работает, если явно включить stapling; выключаешь stapling - перестаёт работать;
Я прогнал множество инфраструктурных вариантов, чтобы исключить любые внешние проблемы, но результат всегда один и тот же. Открыл issue в Xray-Core, но мейнтейнер закрыл его с комментарием, что у него проблема не воспроизводится. Буду рад узнать, что это была лишь моя ошибка, и что есть какое-то просто решение. Но кому не трудно - просьба проверить сабж у себя, и в случае проблем поддержать мой issue комментарием, чтобы разработчик отнёсся к нему серьёзно.
Блин.. Я проверял в 3-х “нулевых” инстансах 3XUI на разных серверах в разных локациях у двух разных хостеров, клиенты тоже проверял разные - на sing-box и xray. Сейчас попробую всё развернуть локально и буду разбираться. А какая версия Xray у вас на сервере? Спасибо большое за проверку!
Благодаря вашему конфигу понял, в чём было дело Оказывается, проверка OCSP становится принудительной, если в конфигах сервера указать ключи mldsa65, и не важно если сам сертификат stapling не поддерживает (хотя наверное, это и правильно).
