藍(lán)點(diǎn)網(wǎng)4月4日凌晨消息，據(jù)藍(lán)點(diǎn)網(wǎng)網(wǎng)友反饋?zhàn)?月3日下午開始Let's Encrypty證書簽發(fā)和續(xù)期遭遇不可抗力故障。

不論用戶是新申請(qǐng)證書還是對(duì)已有證書進(jìn)行續(xù)期均受影響，當(dāng)然通過(guò)自動(dòng)化程序進(jìn)行續(xù)簽也會(huì)因此無(wú)法續(xù)期成功。

正常情況下續(xù)期都會(huì)提前進(jìn)行因此暫時(shí)部分即將到期的證書還可以使用，但如果接下來(lái)無(wú)法恢復(fù)則訪問(wèn)會(huì)受影響。

為此藍(lán)點(diǎn)網(wǎng)提醒各位使用Let's Encrypty 的網(wǎng)站管理員，請(qǐng)盡快檢查你的證書有效期若即將到期請(qǐng)立即執(zhí)行續(xù)期。

若無(wú)法正常續(xù)期請(qǐng)立即安排更換其他渠道提供的證書作為過(guò)渡，以免在證書到期后影響網(wǎng)站或后端服務(wù)正常連接。

為什么出現(xiàn)無(wú)法簽發(fā)和續(xù)期問(wèn)題：

數(shù)字證書通常會(huì)使用 OCSP即在線證書狀態(tài)協(xié)議驗(yàn)證證書是否有效，該協(xié)議被廣泛應(yīng)用于各種環(huán)境中的證書驗(yàn)證。

Let's Encrypty 在簽發(fā)或續(xù)期證書時(shí)同樣會(huì)檢測(cè)域名證書有效性，通常只有成功進(jìn)行校驗(yàn)后才可簽發(fā)或續(xù)期證書。

注：續(xù)期證書本質(zhì)上也是簽發(fā)證書，因?yàn)榕f證書到期后進(jìn)行續(xù)期實(shí)際上就是向頒發(fā)機(jī)構(gòu)申請(qǐng)新證書并替代舊證書。

Let's Encrypty OCSP 調(diào)用的域名在國(guó)內(nèi)部分地區(qū)出現(xiàn)請(qǐng)求異?，F(xiàn)象，據(jù)藍(lán)點(diǎn)網(wǎng)測(cè)試并非所有地區(qū)都會(huì)請(qǐng)求異常。

當(dāng)用戶嘗試新申請(qǐng)證書或執(zhí)行自動(dòng)化程序續(xù)期證書時(shí)會(huì)報(bào)錯(cuò)，檢查操作日志可以看到 OCSP請(qǐng)求出現(xiàn)超時(shí)現(xiàn)象等。

[WARNING] Stapling OCSP: no OCSP stapling for [域名]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp [各種變化的IP地址]:80: i/o timeout

上游服務(wù)商部分域名無(wú)法正常訪問(wèn)：

Let's Encrypty 使用美國(guó)云計(jì)算服務(wù)商Akamai提供的加速服務(wù)，測(cè)試發(fā)現(xiàn)Akamai某個(gè)特定的地址無(wú)法正常訪問(wèn)。

當(dāng)國(guó)內(nèi)用戶嘗試訪問(wèn)時(shí)請(qǐng)返回的IP可能在全球各地但都不是真正的目標(biāo)IP ,  這直接導(dǎo)致 OCSP請(qǐng)求出現(xiàn)超時(shí)問(wèn)題。

# 對(duì)OCSP進(jìn)行查詢C:\Users\Landian>nslookup ocsp.int-x3.letsencrypt.org服務(wù)器: ************************Address: ***************非權(quán)威應(yīng)答:名稱: a771.dscq.akamai.netAddresses: 2600:1417:76::6874:f3cb2600:1417:76::17c7:223131.13.74.1 #非Akamai節(jié)點(diǎn)Aliases: ocsp.int-x3.letsencrypt.orgocsp.int-x3.letsencrypt.org.edgesuite.net# 對(duì)a771進(jìn)行查詢C:\Users\Landian>nslookup a771.dscq.akamai.net服務(wù)器: ************************Address: ***************非權(quán)威應(yīng)答:名稱: a771.dscq.akamai.netAddresses: 2001::453f:ba1f88.191.249.183 #非Akamai節(jié)點(diǎn)

經(jīng)測(cè)試對(duì)相鄰節(jié)點(diǎn)進(jìn)行測(cè)試如a770/a772發(fā)現(xiàn)可以正確解析到Akamai節(jié)點(diǎn)，目前僅發(fā)現(xiàn)a771節(jié)點(diǎn)出現(xiàn)異常情況。

但a771恰恰是Let's Encrypty OCSP服務(wù)的節(jié)點(diǎn)，a771無(wú)法正確解析到目標(biāo)IP導(dǎo)致OCSP請(qǐng)求異常無(wú)法簽發(fā)證書。

目前經(jīng)測(cè)試此問(wèn)題影響部分區(qū)域的部分線路，但也發(fā)現(xiàn)IPv4和IPv6均有異常情況 , 部分區(qū)域僅IPv4出現(xiàn)異常情況。

為此藍(lán)點(diǎn)網(wǎng)提醒各位使用Let's Encrypty 的網(wǎng)站管理員，請(qǐng)盡快檢查你的證書有效期若即將到期請(qǐng)立即執(zhí)行續(xù)期。

若無(wú)法正常續(xù)期請(qǐng)立即安排更換其他渠道提供的證書作為過(guò)渡，以免在證書到期后影響網(wǎng)站或后端服務(wù)正常連接。