Let's Encrypt 的 OSCP 域名被污染,对打开 LE 证书的网站有实际影响吗?
Buffer2Disk 2020-04-12 20:50:13 +08:00 9393 次点击这是一个创建于 2084 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被 DNS 污染,
已知的问题是会对域名证书的续期造成影响,目前服务器上改 host 可以解决,不知道有没有啥更好的解决方案?
听说不同的浏览器对 OSCP 验证的处理不同,如果有些浏览器要先验证 OSCP 的话,那 OSCP 域名被 DNS 被污染后,打开网站的体验就会非常不好了
查了一些资料感觉年代有点久远了,资料上写的是:
chrome 好像是忽视了 OSCP 的验证,IE 和 Safari 都需要 OSCP 验证
但是我实测了下,用 IE 打开 Let's Encrypt 签发证书的网站,好像挺顺畅的,没啥影响
(服务器 nginx 那边确定是没开 ssl_stapling,难道客户端有缓存的原因?)
已知的问题是会对域名证书的续期造成影响,目前服务器上改 host 可以解决,不知道有没有啥更好的解决方案?
听说不同的浏览器对 OSCP 验证的处理不同,如果有些浏览器要先验证 OSCP 的话,那 OSCP 域名被 DNS 被污染后,打开网站的体验就会非常不好了
查了一些资料感觉年代有点久远了,资料上写的是:
chrome 好像是忽视了 OSCP 的验证,IE 和 Safari 都需要 OSCP 验证
但是我实测了下,用 IE 打开 Let's Encrypt 签发证书的网站,好像挺顺畅的,没啥影响
(服务器 nginx 那边确定是没开 ssl_stapling,难道客户端有缓存的原因?)
 | 1 dot2017 2020-04-12 21:38:41 +08:00 人家这个域名解析的 IP 只是禁 ping 而已,哪里被污染了,ipip 里查都正常 |
 | 4 yulihao 2020-04-12 21:45:50 +08:00 我测试到实际无影响,都能开 |
| 5 dot2017 2020-04-12 21:45:51 +08:00 不过反过来说如果是 cname 污染,那可能是别的一个域名被封了,然后那个也用了相同的 cname…… |
| 6 yulihao 2020-04-12 21:49:20 +08:00 |
| &bsp; 7 dot2017 2020-04-12 22:32:13 +08:00 @yulihao 算前后节点没意思的,a771 可能分配给了一堆域名。然后其中一个被 gfw 封了。这种事 fastly 和 edgecast 都有 |
 | 8 mytsing520 PRO @dot2017 好像没看到过,Akamai 每个用户都有一个编号,这点算的还比较清楚 |
 | 9 shinciao 2020-04-13 00:19:47 +08:00 没有实际影响。Chrome 不验证 OSCP,firefox 和 IE 会验证,但验证失败会被视为证书有效。 |
 | 10 Buffer2Disk OP @lanternxx 那么验证失败的流程具体咋样的呢,我查了下资料,火狐好像是验证超时 2 秒的话,就放弃验证了。那么如果没有缓存机制的话,每次打开网页都需要至少 2 秒以上了… |
| 11 Buffer2Disk OP 相当于凭空多增加了了 2 秒 oscp 的验证时间 |
 | 12 Oni 2020-04-13 01:39:43 +08:00 via Android 会影响某些 BT 软件连接 trackers 服务器,报 OSCP 验证失败 |
 | 13 webshe11 2020-04-13 01:54:52 +08:00 我说怎么刚才运行个 `certbot certificates` 都能卡半天,凭直觉感觉 DNS 有毛病,加了 hosts |
 | 14 geekzu 2020-04-13 03:08:00 +08:00 via Android  1 IE11 测试首包软失败会卡几十秒,影响比较严重 Safari 手头没有设备,没有办法做详细测试 |
 | 15 eason1874 2020-04-13 03:43:40 +08:00 1 @geekzu #14 原来 IE11 首屏卡是这个问题,我还以为是 IE11 本身的问题。 刚看你这么说,我去试了下,反复测试确认我这卡约 16 秒,然后打开 Nginx 的 ssl_stapling on; ssl_stapling_verify on; 再试,几乎秒开了,看来打开这个功能还是有必要的。 |
 | 16 INTEL2333 2020-04-13 08:13:33 +08:00 被污染,看了下去印度 fb 了 |
 | 17 stefanaka 2020-04-13 08:24:14 +08:00 via Android 开了 stapling, 我的 nginx error 日志一直报连不上 |
 | 18 sinv 2020-04-13 09:05:31 +08:00 via Android O C S P !!! |
 | 19 id7368 PRO Let’s Encrypty 免费证书用户请注意:你的证书可能已经无法签发 /更新: https://www.landiannews.com/archives/72082.html 4 月 4 就这样了,关键这有啥好污染的,还得用 x 产证书么。 |
 | 20 yylzcom 2020-04-13 09:10:48 +08:00 我在写 nginx 配置的时候开启了 ssl_stapling on; resolver 里填写的是 114.114.114.114 然后就悲剧了,Nginx 启动一直提示 timeout,换了 8.8.8.8 之后好了 |
| 21 Buffer2Disk OP |
| 24 eason1874 2020-04-13 17:50:45 +08:00 @Buffer2Disk #21 好像偶尔抽风,我看日志里 www.google-analytics.com 一天有一次两次 time out,基本不影响。 如果实在担心,搞个定时脚本自己获取正确的 OCSP response 保存到文件给 ssl_stapling_file 调用,这样一次两次的解析失败应该就不能影响到任何用户了。 |
| 25 Buffer2Disk OP |
 | 26 happylty 2020-04-13 22:32:51 +08:00 |
| 27 happylty 2020-04-13 22:40:07 +08:00 IPv4 是 192.64.119.254 美国 亚利桑那州 凤凰城 ping 测试 249 ms |
 | 29 bagel 2020-04-18 23:01:53 +08:00 为什么 OSCP 域名被污染“会对域名证书的续期造成影响”? OSCP 是客户端验证,和证书更新是两套机制吧?难道证书更新续期也用的这个域名?我就在用 Let's Encrypt 的证书,在考虑是不是要换。 |
| 30 Buffer2Disk OP @bagel 你自己试试更新证书看看,我在更新证书的时候就碰到调用这个域名的问题了 |
 | 31 Croath 2020-04-20 13:55:19 +08:00 同样问题遇到了,换了证书之后秒开了。 断断续续半个月时间社区里 iOS 用户不断反应这个问题。谢谢大家提供的思路和实验。 |
Select Language