Let’s Encrypty免费证书用户请注意:你的证书可能已经无法签发/更新

蓝点网4月4日凌晨消息,据蓝点网网友反馈自4月3日下午开始Let's Encrypty证书签发和续期遭遇不可抗力故障。

不论用户是新申请证书还是对已有证书进行续期均受影响,当然通过自动化程序进行续签也会因此无法续期成功。

正常情况下续期都会提前进行因此暂时部分即将到期的证书还可以使用,但如果接下来无法恢复则访问会受影响。

为此蓝点网提醒各位使用Let's Encrypty 的网站管理员,请尽快检查你的证书有效期若即将到期请立即执行续期。

若无法正常续期请立即安排更换其他渠道提供的证书作为过渡,以免在证书到期后影响网站或后端服务正常连接。

Let's Encrypty免费证书用户请注意:你的证书可能已经无法签发/更新

为什么出现无法签发和续期问题:

数字证书通常会使用 OCSP即在线证书状态协议验证证书是否有效,该协议被广泛应用于各种环境中的证书验证。

Let's Encrypty 在签发或续期证书时同样会检测域名证书有效性,通常只有成功进行校验后才可签发或续期证书。

注:续期证书本质上也是签发证书,因为旧证书到期后进行续期实际上就是向颁发机构申请新证书并替代旧证书。

Let's Encrypty OCSP 调用的域名在国内部分地区出现请求异常现象,据蓝点网测试并非所有地区都会请求异常。

当用户尝试新申请证书或执行自动化程序续期证书时会报错,检查操作日志可以看到 OCSP请求出现超时现象等。

[WARNING] Stapling OCSP: no OCSP stapling for [域名]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp [各种变化的IP地址]:80: i/o timeout

上游服务商部分域名无法正常访问:

Let's Encrypty 使用美国云计算服务商Akamai提供的加速服务,测试发现Akamai某个特定的地址无法正常访问。

当国内用户尝试访问时请返回的IP可能在全球各地但都不是真正的目标IP ,  这直接导致 OCSP请求出现超时问题。

# 对OCSP进行查询
C:\Users\Landian>nslookup ocsp.int-x3.letsencrypt.org
服务器: ************************
Address: ***************
非权威应答:
名称: a771.dscq.akamai.net
Addresses: 2600:1417:76::6874:f3cb
2600:1417:76::17c7:2231
31.13.74.1 #非Akamai节点
Aliases: ocsp.int-x3.letsencrypt.org
ocsp.int-x3.letsencrypt.org.edgesuite.net
# 对a771进行查询
C:\Users\Landian>nslookup a771.dscq.akamai.net
服务器: ************************
Address: ***************
非权威应答:
名称: a771.dscq.akamai.net
Addresses: 2001::453f:ba1f
88.191.249.183 #非Akamai节点

经测试对相邻节点进行测试如a770/a772发现可以正确解析到Akamai节点,目前仅发现a771节点出现异常情况。

但a771恰恰是Let's Encrypty OCSP服务的节点,a771无法正确解析到目标IP导致OCSP请求异常无法签发证书。

目前经测试此问题影响部分区域的部分线路,但也发现IPv4和IPv6均有异常情况 , 部分区域仅IPv4出现异常情况。

为此蓝点网提醒各位使用Let's Encrypty 的网站管理员,请尽快检查你的证书有效期若即将到期请立即执行续期。

若无法正常续期请立即安排更换其他渠道提供的证书作为过渡,以免在证书到期后影响网站或后端服务正常连接。

本文由 蓝点网 作者:山外的鸭子哥 发表,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
扫码关注蓝点网微信公众号

评论:

7 条评论,访客:7 条,站长:0 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)

最新评论

  1. Jasmine-Mori
    Jasmine-Mori发布于: 
    Google Chrome 80.0.3987.149 Google Chrome 80.0.3987.149 Windows 10 x64 Edition Windows 10 x64 Edition

    遇到了

  2. 独行任逍遥
    独行任逍遥发布于: 
    Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 x64 Edition Windows 10 x64 Edition

    吓得我赶紧登录群晖续了个期(还有一个月),还好一切正常自动续期成功。

  3. 木灵鱼儿
    木灵鱼儿发布于: 
    Firefox 74.0 Firefox 74.0 Windows 10 x64 Edition Windows 10 x64 Edition

    还真是,我遇到了,提前一星期续签了,结果还是提示到期,然后只能删除掉原来的,重新申请就行了

  4. 木头科学二百五
    木头科学二百五发布于: 
    Microsoft Edge 83.0.473.0 Microsoft Edge 83.0.473.0 Windows 10 x64 Edition Windows 10 x64 Edition

    这也要搞?!有病啊。。。

  5. River
    River发布于: 
    Firefox 76.0 Firefox 76.0 Android 10 Android 10

    看起来Feedly也无法访问了,感觉跟这个有一定关系

  6. Liu
    Liu发布于: 
    Firefox 74.0 Firefox 74.0 Windows 10 x64 Edition Windows 10 x64 Edition

    一直用的这个

  7. Kirito
    Kirito发布于: 
    Google Chrome 81.0.4044.92 Google Chrome 81.0.4044.92 Windows 10 x64 Edition Windows 10 x64 Edition

    404了?

发表评论