藍點網(wǎng)4月4日凌晨消息，據(jù)藍點網(wǎng)網(wǎng)友反饋自4月3日下午開始Let's Encrypty證書簽發(fā)和續(xù)期遭遇不可抗力故障。

不論用戶是新申請證書還是對已有證書進行續(xù)期均受影響，當(dāng)然通過自動化程序進行續(xù)簽也會因此無法續(xù)期成功。

正常情況下續(xù)期都會提前進行因此暫時部分即將到期的證書還可以使用，但如果接下來無法恢復(fù)則訪問會受影響。

為此藍點網(wǎng)提醒各位使用Let's Encrypty 的網(wǎng)站管理員，請盡快檢查你的證書有效期若即將到期請立即執(zhí)行續(xù)期。

若無法正常續(xù)期請立即安排更換其他渠道提供的證書作為過渡，以免在證書到期后影響網(wǎng)站或后端服務(wù)正常連接。

為什么出現(xiàn)無法簽發(fā)和續(xù)期問題：

數(shù)字證書通常會使用 OCSP即在線證書狀態(tài)協(xié)議驗證證書是否有效，該協(xié)議被廣泛應(yīng)用于各種環(huán)境中的證書驗證。

Let's Encrypty 在簽發(fā)或續(xù)期證書時同樣會檢測域名證書有效性，通常只有成功進行校驗后才可簽發(fā)或續(xù)期證書。

注：續(xù)期證書本質(zhì)上也是簽發(fā)證書，因為舊證書到期后進行續(xù)期實際上就是向頒發(fā)機構(gòu)申請新證書并替代舊證書。

Let's Encrypty OCSP 調(diào)用的域名在國內(nèi)部分地區(qū)出現(xiàn)請求異?，F(xiàn)象，據(jù)藍點網(wǎng)測試并非所有地區(qū)都會請求異常。

當(dāng)用戶嘗試新申請證書或執(zhí)行自動化程序續(xù)期證書時會報錯，檢查操作日志可以看到 OCSP請求出現(xiàn)超時現(xiàn)象等。

[WARNING] Stapling OCSP: no OCSP stapling for [域名]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp [各種變化的IP地址]:80: i/o timeout

上游服務(wù)商部分域名無法正常訪問：

Let's Encrypty 使用美國云計算服務(wù)商Akamai提供的加速服務(wù)，測試發(fā)現(xiàn)Akamai某個特定的地址無法正常訪問。

當(dāng)國內(nèi)用戶嘗試訪問時請返回的IP可能在全球各地但都不是真正的目標(biāo)IP ,  這直接導(dǎo)致 OCSP請求出現(xiàn)超時問題。

# 對OCSP進行查詢C:\Users\Landian>nslookup ocsp.int-x3.letsencrypt.org服務(wù)器: ************************Address: ***************非權(quán)威應(yīng)答:名稱: a771.dscq.akamai.netAddresses: 2600:1417:76::6874:f3cb2600:1417:76::17c7:223131.13.74.1 #非Akamai節(jié)點Aliases: ocsp.int-x3.letsencrypt.orgocsp.int-x3.letsencrypt.org.edgesuite.net# 對a771進行查詢C:\Users\Landian>nslookup a771.dscq.akamai.net服務(wù)器: ************************Address: ***************非權(quán)威應(yīng)答:名稱: a771.dscq.akamai.netAddresses: 2001::453f:ba1f88.191.249.183 #非Akamai節(jié)點

經(jīng)測試對相鄰節(jié)點進行測試如a770/a772發(fā)現(xiàn)可以正確解析到Akamai節(jié)點，目前僅發(fā)現(xiàn)a771節(jié)點出現(xiàn)異常情況。

但a771恰恰是Let's Encrypty OCSP服務(wù)的節(jié)點，a771無法正確解析到目標(biāo)IP導(dǎo)致OCSP請求異常無法簽發(fā)證書。

目前經(jīng)測試此問題影響部分區(qū)域的部分線路，但也發(fā)現(xiàn)IPv4和IPv6均有異常情況 , 部分區(qū)域僅IPv4出現(xiàn)異常情況。

為此藍點網(wǎng)提醒各位使用Let's Encrypty 的網(wǎng)站管理員，請盡快檢查你的證書有效期若即將到期請立即執(zhí)行續(xù)期。

若無法正常續(xù)期請立即安排更換其他渠道提供的證書作為過渡，以免在證書到期后影響網(wǎng)站或后端服務(wù)正常連接。