Let’s Encrypt免費證書用戶請注意:你的證書可能已經無法簽發/更新
自4月3日下午開始Let’s Encrypt證書籤發和續期遭遇不可抗力故障。不論用戶是新申請證書還是對已有證書進行續期均受影響,當然通過自動化程序進行續簽也會因此無法續期成功。正常情況下續期都會提前進行因此暫時部分即將到期的證書還可以使用,但如果接下來無法恢復則訪問會受影響。
為此提醒各位使用Let’s Encrypt的網站管理員,請盡快檢查你的證書有效期若即將到期請立即執行續期。若無法正常續期請立即安排更換其他渠道提供的證書作為過渡,以免在證書到期後影響網站或後端服務正常連接。
為什麼出現無法簽發和續期問題:
數字證書通常會使用OCSP即在線證書狀態協議驗證證書是否有效,該協議被廣泛應用於各種環境中的證書驗證。Let’s Encrypt 在簽發或續期證書時同樣會檢測域名證書有效性,通常只有成功進行校驗後才可簽發或續期證書。注:續期證書本質上也是簽發證書,因為舊證書到期後進行續期實際上就是向頒發機構申請新證書並替代舊證書。Let’s Encrypt OCSP 調用的域名在國內部分地區出現請求異常現象,據藍點網測試並非所有地區都會請求異常。當用戶嘗試新申請證書或執行自動化程序續期證書時會報錯,檢查操作日誌可以看到OCSP請求出現超時現像等。
[WARNING] Stapling OCSP: no OCSP stapling for [域名]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp [各種變化的IP地址]:80: i/o timeout
上游服務商部分域名無法正常訪問:
Let’s Encrypt 使用美國雲計算服務商Akamai提供的加速服務,測試發現Akamai某個特定的地址無法正常訪問。當國內用戶嘗試訪問時請返回的IP可能在全球各地但都不是真正的目標IP , 這直接導致OCSP請求出現超時問題。
# 對OCSP進行查詢C:UsersLandian>nslookup ocsp.int-x3.letsencrypt.org 服務器: ************************ Address: *** ************ 非權威應答: 名稱: a771.dscq.akamai.net Addresses: 2600:1417:76::6874:f3cb2600:1417:76::17c7:223 131.13.74.1 #非Akamai節點Aliases: ocsp.int-x3.letsencrypt.org ocsp.int-x3.letsencrypt.org.edgesuite.net # 對a771進行查詢C:UsersLandian>nslookup a771.dscq.akamai.net 服務器: **** ******************** Address: *************** 非權威應答: 名稱: a771.dscq.akamai.net Addresses: 2001::453f:ba1f 88.191.249.183 #非Akamai節點
經測試對相鄰節點進行測試如a770/a772發現可以正確解析到Akamai節點,目前僅發現a771節點出現異常情況。但a771恰恰是Let’s Encrypt OCSP服務的節點,a771無法正確解析到目標IP導致OCSP請求異常無法簽發證書。目前經測試此問題影響部分區域的部分線路,但也發現IPv4和IPv6均有異常情況, 部分區域僅IPv4出現異常情況。
為此藍點網提醒各位使用Let’s Encrypt 的網站管理員,請盡快檢查你的證書有效期若即將到期請立即執行續期。若無法正常續期請立即安排更換其他渠道提供的證書作為過渡,以免在證書到期後影響網站或後端服務正常連接。