OPNsense中lighttpd 1.4.78版本SSL证书验证问题分析

在OPNsense 25.1.4版本中，用户报告了一个与Captive Portal相关的SSL证书验证问题。当用户连接到WiFi网络并重定向到Captive Portal登录页面时，Android、iOS和Windows设备会显示"SSL_UNTRUSTED"证书警告，而手动访问时部分浏览器会显示"NET:ERR_CERT_AUTHORITY_INVALID"错误。值得注意的是，同样的Let's Encrypt通配符证书在其他场景下工作正常，且问题在降级到25.1.3版本后消失。

经过技术分析，这个问题与lighttpd 1.4.78版本中的一个回归性错误有关。该版本引入了一个新特性：默认情况下不启用，可以每隔几秒检查新证书和CRL，无需重启lighttpd即可重新加载它们。然而，这个版本在mod_openssl模块中引入了一个优化缺陷。

具体来说，当存在多个证书且默认证书为ECDSA类型，而虚拟主机使用RSA证书时，lighttpd mod_openssl可能会错误地将默认证书发送给发送了SNI(服务器名称指示)的客户端，导致证书不匹配。这种情况在测试多个ECDSA证书时不会出现。

这个问题的根本原因是lighttpd 1.4.78中对SSL_CTX cert_store的优化处理不当。虽然mod_openssl在SNI匹配不同证书时会加载完全独立的cert_store，但默认证书的加载逻辑出现了问题。

OPNsense团队迅速响应，在25.1.5版本中升级到了lighttpd 1.4.79，该版本修复了这个回归性问题。用户验证表明，升级后Captive Portal的SSL证书验证恢复正常，不再出现证书警告。

对于系统管理员而言，这类问题的解决过程展示了版本升级时进行充分测试的重要性，特别是在涉及安全组件如SSL/TLS实现时。同时，也体现了开源社区快速响应和修复问题的优势。