求助！关于 OCSP 装订的问题。

2020-05-24 08:47:40 +08:00

GeekSky

NGINX 报错：

"ssl_stapling" ignored, host not found in OCSP responder "ocsp.int-x3.letsencrypt.org" in the certificate "/usr/local/nginx/ssl/www.pem"

ssllabs 检测提示：

This server certificate supports OCSP must staple but OCSP response is not stapled

NGINX 配置如下：

        ssl_certificate      /usr/local/nginx/ssl/www.pem;
        ssl_certificate_key  /usr/local/nginx/ssl/www.key;
        ssl_session_cache    shared:SSL:5m;
        ssl_session_timeout  5m;
        ssl_early_data       on;
        ssl_protocols        TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers  on;
        ssl_stapling         on;
        resolver      223.5.5.5;
        ssl_stapling_verify  on;

请问是哪里的问题？

3964 次点击

所在节点

程序员

16 条回复

cwek

2020-05-24 08:49:44 +08:00

这个好像提过很多次，letsencrypt 的 OCSP 地址被污染了。

GeekSky

2020-05-24 08:55:08 +08:00

@cwek 这些龟孙，真是闲的蛋疼，这个碍它们什么事了……
老哥有解决办法没？

dingyx99

2020-05-24 09:11:51 +08:00

可以把 resolver 换成一个可以正常解析并访问 OCSP 域名的 DNS，或者是自己加上 ssl_trusted_certificate 手动 OCSP

GeekSky

2020-05-24 09:16:30 +08:00

@dingyx99 ssl_trusted_certificate 是使用 ca_bundle 这个证书吗？

lookas2001

2020-05-24 09:32:13 +08:00

ocsp.int-x3.letsencrypt.org 被污染了
解决方式：加 hosts
23.205.154.146 ocsp.int-x3.letsencrypt.org
不知道那群人在想啥，没事净给人添堵

constructor

2020-05-24 09:42:54 +08:00

@dingyx99 看看前几天我怎么从坑里出来的： https://v2ex.com/t/672952，看附言部分的总结。

allenforrest

2020-05-24 10:47:19 +08:00

ssl_stapling on;
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
resolver_timeout 5s;

亲测可用

Vhc001

2020-05-24 11:01:29 +08:00

域名被 DNS 污染了，狗日的 XX 党

lanternxx

2020-05-24 11:08:09 +08:00

@lookas2001 #5 ocsp.int-x3.letsencrypt.org 这个域名用的 akamai 的 CDN，CNAME 解析到了 a771.dscq.akamai.net ，是这个 akamai 的 CDN 域名被污染了。估计是有不和谐的网站也在用这个 CDN 域名。

lookas2001

2020-05-24 11:40:24 +08:00

@lanternxx sni 定点清除，请。
求求有关部门找点靠谱的人维护这个系统吧，实在不行拆了也成。

moult

2020-05-24 12:51:40 +08:00

@lookas2001 host 设定好像没用的。Nginx 的 OCSP 请求好像不信任 host 的。

seers

2020-05-24 13:26:31 +08:00

ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s;
resolver_timeout 2s;

holinhot

2020-05-24 14:20:08 +08:00

@lookas2001 和维护的人没关系，维护的人只是按上面下发的名单操作。

lanternxx

2020-05-24 15:22:03 +08:00

@lookas2001 #9 和 SNI 没关系吧，目前只是 DNS 污染，没有 TCP 阻断。而且 OCSP 是 http 的，没有 SNI 。

sundev

2020-05-24 16:25:32 +08:00

亲测加 Host 有效。
另疑惑 resolver 用 8.8.8.8 8.8.4.4 有用？这两个 Google 的 DNS 不是无法访问的么？

zingl

2020-05-24 18:20:51 +08:00

8.8.8.8 在服务器上可以访问

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/674824

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.