国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被污染了?

2020-04-02 12:25:41 +08:00
 863

今天早上续签 Let's Encrypt 的证书,发现报

[WARNING] Stapling OCSP: no OCSP stapling for [*.com]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp 88.191.249.182:80: i/o timeout

nslookup 后发现

nslookup ocsp.int-x3.letsencrypt.org
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
ocsp.int-x3.letsencrypt.org     canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
ocsp.int-x3.letsencrypt.org.edgesuite.net       canonical name = a771.dscq.akamai.net.
Name:   a771.dscq.akamai.net
Address: 31.13.65.1
Name:   a771.dscq.akamai.net
Address: 2001::4b7e:8783

用 ipip 的 DNS 解析得到同样结果

13508 次点击
所在节点    宽带症候群
40 条回复
mnihyc
2020-04-02 22:25:34 +08:00
@863 我这 IPv6 是好的
c:\>nslookup a771.dscq.a kamai.net 223.5 .5.5
Server: public1.ali dns.com
Address: 223. 5.5.5

Non-authoritative answer:
Name: a771.dscq .akamai.net
Addresses: 2600:1417:76::6874:f3cb
2600:1417:76::17d2:d741
31.13.68.1
LGA1150
2020-04-02 22:25:49 +08:00
目前可以改 hosts 上,不会 TCP RST
webshe11
2020-04-03 01:46:15 +08:00
@love
答第一问:话说管理墙的公司在哪个位置
北京市朝阳区安贞街道裕民路甲 3 号
答第二问:这特么随便就封的吗
是的
agagega
2020-04-03 01:53:51 +08:00
每次看到这种贴子,不得不感叹程序员的世界和所谓大众的割裂,唉。
你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?
zk8802
2020-04-03 08:28:23 +08:00
> 你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?

等他们被专政的铁拳击中之后,自然会理解的。
taobibi
2020-04-03 08:35:47 +08:00
@love 国内 360 公司是墙的首席技术支持,估计 360 公司要搞免费证书了。
taobibi
2020-04-03 08:37:04 +08:00
@webshe11 目前已知墙的管理方面属于行政部门,技术支持是 360 和企鹅
cloudyi666
2020-04-03 08:55:06 +08:00
@webshe11 之前这个里面有个保洁阿姨被确诊了,怀疑是个阴谋
cloudyi666
2020-04-03 08:56:48 +08:00
@taobibi 首席还是那必须还得方校长
V69EX
2020-04-03 10:15:48 +08:00
@taobibi 这它妹的,以后岂不是只要国内公司想搞啥,就随便封杀国外的同类服务?现在大吹的 UOS 之类的搞起来后,会不会把所有国外的 BSD/Linux 发行版本统统封杀?甚至不再允许国内的开源镜像再同步国外的资源……
txydhr
2020-04-03 10:24:29 +08:00
从 cloudflare 被劫持可以看出来内部有人靠墙搞黑产。
binsys
2020-04-04 17:08:34 +08:00
吉林长春电信线路确认被搞,暂时可以改 hosts 解决,不知道后续如何
863
2020-04-04 17:52:07 +08:00
在广东移动家用宽带测试了一下,现在指向了 CMI HK 的两个 IPv4 地址,非 Akamai,不知道能不能用
···
C:\Users\ThinkPad>nslookup ocsp.int-x3.letsencrypt.org
服务器: UnKnown
Address: 2400:3200::1

非权威应答:
名称: a771.dscq.akamai.net
Addresses: 2600:140e:6::1702:1042
2600:140e:6::1702:1038
2600:140e:6::1702:1043
223.119.50.201
223.119.50.203
Aliases: ocsp.int-x3.letsencrypt.org
ocsp.int-x3.letsencrypt.org.edgesuite.net
···
jin7
2020-04-05 14:03:13 +08:00
活久见
Primovist
2020-04-06 20:02:06 +08:00
还没好吗?
Beebird
2020-04-13 19:24:13 +08:00
不光是证书注册续期,现在访问 https 的性能也下降了,除非使用 OCSP Stapling
keyscrapper
2020-04-14 16:15:04 +08:00
@V69EX 啊?您才意识到
872517414
2020-04-19 22:20:28 +08:00
今天访问自己的网站发现 Firefox 提示 MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING 。
看 SSL Labs 的提示是:This server certificate supports OCSP must staple but OCSP response is not stapled.
就感觉很奇怪,排查了服务器发现没问题后,测试了一下域名,我真的是……无话可说。
brMu
2020-04-24 16:43:18 +08:00
公司证书没有自动更新,原来是这个原因,好可恶!!!
gongjianwei
2020-05-29 04:29:27 +08:00
今天碰到了这个问题,阿里的 DNS 解析到 208.43.237.140 ,深圳移动的 DNS 解析到 31.13.85.8 。两个都用不了,解决的方案是改 host,然后把 reslover 注释掉。
出处: https://holmesian.org/letsencrypt-ocsp-fix

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/658605

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX