XlKsyt

 跟 Wireshark 抓包的结果一致，一直停留在 Client Hello 阶段直到超时关闭连接。

其实我两个月前就大概知道原因了，问题其实不在 Let's Encrypt 的免费域名证书本身，还是运营商的责任。我偶然一次在 V2EX 上看到了一个讨论贴，说部分地区运营商会干扰使用 Let's Encrypt 证书授权的域名连接，我突然想起来了自己其实就是同样的问题。暑假期间我回到安徽使用移动宽带，之前的问题就不存在了。所以要解决这个问题，要么换证书，要么换网络环境。

@waylybaye 并非如此，我不使用海外阿里云。我分别在 DigitalOcean 纽约机房和 Vultr 迈阿密机房的两台 VPS 上测试过，两台 VPS 上绑定域名先后使用了由 Freenom 提供的免费域名和 Godaddy 的付费 .com 域名，但是同样的问题依然存在，只有当切换网络环境时问题会自动消失。但是还有一个很奇怪的现象，就是当你处在相同的网络环境下，白天连不上，夜里又能打开了，第二天白天又连不上...如此循环。就好像干扰是分时间段进行的。

@waylybaye 我认为根本上还是 GFW 的问题，GFW 大部分挂靠在运营商的基建下，针对特定 SSL（TLS）证书的封锁本身就是 GFW 的方式之一。

.tk .com .ml 域名都尝试过，应该不是域名问题。

It's an issue related to envoy of a legacy version. Change `FROM envoyproxy/envoy-dev:latest` to `FROM envoyproxy/envoy-dev:de18671ab2f89ddb52adaa82e50cb592b4f69298` in `Dockerfile-envoy.yaml`, and the tag `latest` is not recommended.