Home Sign Up Sign In
Buffer2Disk

Let's Encrypt 的 OSCP 域名被污染,对打开 LE 证书的网站有实际影响吗?

  •   
  •   Buffer2Disk · Apr 12, 2020 · 9746 views
    This topic created in 2256 days ago, the information mentioned may be changed or developed.
    目前国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被 DNS 污染,

    已知的问题是会对域名证书的续期造成影响,目前服务器上改 host 可以解决,不知道有没有啥更好的解决方案?


    听说不同的浏览器对 OSCP 验证的处理不同,如果有些浏览器要先验证 OSCP 的话,那 OSCP 域名被 DNS 被污染后,打开网站的体验就会非常不好了

    查了一些资料感觉年代有点久远了,资料上写的是:
    chrome 好像是忽视了 OSCP 的验证,IE 和 Safari 都需要 OSCP 验证

    但是我实测了下,用 IE 打开 Let's Encrypt 签发证书的网站,好像挺顺畅的,没啥影响
    (服务器 nginx 那边确定是没开 ssl_stapling,难道客户端有缓存的原因?)
  • oscp
  • let's
  • encrypt
  • 域名
    31 replies    2020-04-20 13:55:19 +08:00
    dot2017
        1
    dot2017  
       Apr 12, 2020
    人家这个域名解析的 IP 只是禁 ping 而已,哪里被污染了,ipip 里查都正常
    yulihao
        2
    yulihao  
       Apr 12, 2020
    @dot2017
    dot2017
        3
    dot2017  
       Apr 12, 2020
    @yulihao 呃,看到了,cname 被污染了。这下好,顺带把一个 akamai 节点给废了
    yulihao
        4
    yulihao  
       Apr 12, 2020
    我测试到实际无影响,都能开
    dot2017
        5
    dot2017  
       Apr 12, 2020
    不过反过来说如果是 cname 污染,那可能是别的一个域名被封了,然后那个也用了相同的 cname……
    yulihao
        6
    yulihao  
       Apr 12, 2020
    @dot2017 不清楚是不是针对性的
    a770.dscq.akamai.net
    a772.dscq.akamai.net
    都没有 ban
    dot2017
        7
    dot2017  
       Apr 12, 2020
    @yulihao 算前后节点没意思的,a771 可能分配给了一堆域名。然后其中一个被 gfw 封了。这种事 fastly 和 edgecast 都有
    mytsing520
        8
    mytsing520  
    PRO
       Apr 12, 2020
    @dot2017 好像没看到过,Akamai 每个用户都有一个编号,这点算的还比较清楚
    shinciao
        9
    shinciao  
       Apr 13, 2020
    没有实际影响。Chrome 不验证 OSCP,firefox 和 IE 会验证,但验证失败会被视为证书有效。
    Buffer2Disk
        10
    Buffer2Disk  
    OP
       Apr 13, 2020 via iPhone
    @lanternxx 那么验证失败的流程具体咋样的呢,我查了下资料,火狐好像是验证超时 2 秒的话,就放弃验证了。那么如果没有缓存机制的话,每次打开网页都需要至少 2 秒以上了…
    Buffer2Disk
        11
    Buffer2Disk  
    OP
       Apr 13, 2020 via iPhone
    相当于凭空多增加了了 2 秒 oscp 的验证时间
    Oni
        12
    Oni  
       Apr 13, 2020 via Android
    会影响某些 BT 软件连接 trackers 服务器,报 OSCP 验证失败
    webshe11
        13
    webshe11  
       Apr 13, 2020
    我说怎么刚才运行个 `certbot certificates` 都能卡半天,凭直觉感觉 DNS 有毛病,加了 hosts
    geekzu
        14
    geekzu  
       Apr 13, 2020 via Android   ❤️ 1
    @Buffer2Disk 前几天测了,Firefox 74,对 LE 证书不发 OCSP 请求(没有 OCSP 装订的情况下),猜测是硬编码了策略,对于其他证书,软失败时长似乎是 4s,首包会卡

    IE11 测试首包软失败会卡几十秒,影响比较严重

    Safari 手头没有设备,没有办法做详细测试
    eason1874
        15
    eason1874  
       Apr 13, 2020   ❤️ 1
    @geekzu #14 原来 IE11 首屏卡是这个问题,我还以为是 IE11 本身的问题。

    刚看你这么说,我去试了下,反复测试确认我这卡约 16 秒,然后打开 Nginx 的 ssl_stapling on; ssl_stapling_verify on; 再试,几乎秒开了,看来打开这个功能还是有必要的。
    INTEL2333
        16
    INTEL2333  
       Apr 13, 2020
    被污染,看了下去印度 fb 了
    stefanaka
        17
    stefanaka  
       Apr 13, 2020 via Android
    开了 stapling, 我的 nginx error 日志一直报连不上
    sinv
        18
    sinv  
       Apr 13, 2020 via Android
    O C S P !!!
    id7368
        19
    id7368  
    PRO
       Apr 13, 2020 via iPhone
    Let’s Encrypty 免费证书用户请注意:你的证书可能已经无法签发 /更新: https://www.landiannews.com/archives/72082.html 4 月 4 就这样了,关键这有啥好污染的,还得用 x 产证书么。😓
    yylzcom
        20
    yylzcom  
       Apr 13, 2020
    我在写 nginx 配置的时候开启了 ssl_stapling on;
    resolver 里填写的是 114.114.114.114

    然后就悲剧了,Nginx 启动一直提示 timeout,换了 8.8.8.8 之后好了
    Buffer2Disk
        21
    Buffer2Disk  
    OP
       Apr 13, 2020
    @yylzcom
    @eason1874

    有个问题就是,
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8

    这么配置,大陆能正常用 8.8.8.8 吗? 会不会有抽风的风险
    bclerdx
        22
    bclerdx  
       Apr 13, 2020
    @dot2017 a771 、a770 、a772 是什么意思?
    bclerdx
        23
    bclerdx  
       Apr 13, 2020
    @id7368 墙现在是胆大包天,无所不用。
    eason1874
        24
    eason1874  
       Apr 13, 2020
    @Buffer2Disk #21 好像偶尔抽风,我看日志里 www.google-analytics.com 一天有一次两次 time out,基本不影响。

    如果实在担心,搞个定时脚本自己获取正确的 OCSP response 保存到文件给 ssl_stapling_file 调用,这样一次两次的解析失败应该就不能影响到任何用户了。
    Buffer2Disk
        25
    Buffer2Disk  
    OP
       Apr 13, 2020
    @eason1874

    问题还是来了,如何稳定的获得正确的 OCSP response 。。。。。
    happylty
        26
    happylty  
       Apr 13, 2020
    联通 DNS 正常。
    IP
    2600:1417:76::6874:f3cb
    Location
    中国 台湾 台北市
    ISP
    akamai.com
    happylty
        27
    happylty  
       Apr 13, 2020
    IPv4 是 192.64.119.254
    美国 亚利桑那州 凤凰城
    ping 测试 249 ms
    CoderLife
        28
    CoderLife  
       Apr 14, 2020
    小程序影响很大: /t/662189
    bagel
        29
    bagel  
       Apr 18, 2020
    为什么 OSCP 域名被污染“会对域名证书的续期造成影响”? OSCP 是客户端验证,和证书更新是两套机制吧?难道证书更新续期也用的这个域名?我就在用 Let's Encrypt 的证书,在考虑是不是要换。
    Buffer2Disk
        30
    Buffer2Disk  
    OP
       Apr 19, 2020
    @bagel 你自己试试更新证书看看,我在更新证书的时候就碰到调用这个域名的问题了
    Croath
        31
    Croath  
       Apr 20, 2020
    同样问题遇到了,换了证书之后秒开了。

    断断续续半个月时间社区里 iOS 用户不断反应这个问题。谢谢大家提供的思路和实验。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3031 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 89ms · UTC 12:32 · PVG 20:32 · LAX 05:32 · JFK 08:32
    ♥ Do have faith in what you're doing.