国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被污染了？

This topic created in 2244 days ago, the information mentioned may be changed or developed.

今天早上续签 Let's Encrypt 的证书，发现报

[WARNING] Stapling OCSP: no OCSP stapling for [*.com]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp 88.191.249.182:80: i/o timeout

nslookup 后发现

nslookup ocsp.int-x3.letsencrypt.org
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
ocsp.int-x3.letsencrypt.org     canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
ocsp.int-x3.letsencrypt.org.edgesuite.net       canonical name = a771.dscq.akamai.net.
Name:   a771.dscq.akamai.net
Address: 31.13.65.1
Name:   a771.dscq.akamai.net
Address: 2001::4b7e:8783

用 ipip 的 DNS 解析得到同样结果

Supplement 1 · Apr 2, 2020

更正，标题 OSCP 应为 OCSP，一时手快打错了

40 replies • 2020-05-29 04:29:27 +08:00

Tianao

Apr 2, 2020

确实，本地电信的和几家公共 DNS 证实污染。

mytsing520

PRO

Apr 2, 2020

是这个 a771.dscq.akamai.net 被污染

DGideas

Apr 2, 2020

真遗憾

bclerdx

Apr 2, 2020

确实被污染了。真可恶。

mnihyc

Apr 2, 2020

a771.dscq.akamai.net 解析 IPv4 被污染，IPv6 结果仍正常

ochatokori

Apr 2, 2020 via Android

确实，不给活路呀

heqiaokyou

Apr 2, 2020

用国内 DNS 就的确是污染了。换成国外的 DNS 就正确解析，说明只是污染了并没有做劫持。这就有点奇怪了。

Xusually

Apr 2, 2020

不知道是整体污染了 akamai 的 CDN 还是专门要污染 let's encrypt ？

jousca

Apr 2, 2020

@Xusually akamai 的 CDN 经常被污染

testcaoy7

Apr 2, 2020

可恶

stille

Apr 2, 2020

昨天晚上用 acme.sh 的 docker 版本申请 dnspod 的,cloudflare 的各种失败...
脚本版本的申请 cloudflare 的也全都无法认证 txt 记录...国外 vps 国内 vps 都试过...搞了几个小时

ragnaroks

Apr 2, 2020

@Xusually 初略用 nslookup 测试了一下,目前只发现 a771 被污染

ragnaroks

Apr 2, 2020

我也是刚才申请证书各种失败,
不知道出于何种理由,不过足够恶心了

Xusually

Apr 2, 2020

@ragnaroks @jousca 那就尴尬了，有意为之的话 acme.sh 用户都被影响了

cwek

Apr 2, 2020

用海外机器认证完再拉回来？

villivateur

Apr 2, 2020 via Android

华东地区，阿里云腾讯云华为云均复现。
墙真的有病，无关民间疾苦。
话说会不会跟前段时间 GitHub HTTPS 中间人攻击相关。

V69EX

Apr 2, 2020

国内貌似也有公司开始搞免费证书了，估计这是要把用户赶到国内流氓公司的口袋里呀……:-D

love

Apr 2, 2020

话说管理墙的公司在哪个位置，这特么随便就封的吗

terence4444

Apr 2, 2020

离封闭又近一步

863

Apr 2, 2020

@mnihyc 我这里是教育网，IPv4 和 IPv6 均污染
```
Non-authoritative answer:
ocsp.int-x3.letsencrypt.org canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
ocsp.int-x3.letsencrypt.org.edgesuite.net canonical name = a771.dscq.akamai.net.
Name: a771.dscq.akamai.net
Address: 199.16.156.7
Name: a771.dscq.akamai.net
Address: 2001::1f0d:4801
```

mnihyc

Apr 2, 2020

@863 我这 IPv6 是好的
c:\>nslookup a771.dscq.a kamai.net 223.5 .5.5
Server: public1.ali dns.com
Address: 223. 5.5.5

Non-authoritative answer:
Name: a771.dscq .akamai.net
Addresses: 2600:1417:76::6874:f3cb
2600:1417:76::17d2:d741
31.13.68.1

LGA1150

Apr 2, 2020

目前可以改 hosts 上，不会 TCP RST

webshe11

Apr 3, 2020

@love
答第一问：话说管理墙的公司在哪个位置
北京市朝阳区安贞街道裕民路甲 3 号
答第二问：这特么随便就封的吗
是的

agagega

Apr 3, 2020

每次看到这种贴子，不得不感叹程序员的世界和所谓大众的割裂，唉。
你们说那些在新闻里为自主网络 xx 叫好的人里面，有能理解在座诸位的不安的吗？

zk8802

Apr 3, 2020

> 你们说那些在新闻里为自主网络 xx 叫好的人里面，有能理解在座诸位的不安的吗？

等他们被专政的铁拳击中之后，自然会理解的。

taobibi

Apr 3, 2020

@love 国内 360 公司是墙的首席技术支持，估计 360 公司要搞免费证书了。

taobibi

Apr 3, 2020

@webshe11 目前已知墙的管理方面属于行政部门，技术支持是 360 和企鹅

cloudyi666

Apr 3, 2020 via iPhone

@webshe11 之前这个里面有个保洁阿姨被确诊了，怀疑是个阴谋

cloudyi666

Apr 3, 2020 via iPhone

@taobibi 首席还是那必须还得方校长

V69EX

Apr 3, 2020

@taobibi 这它妹的，以后岂不是只要国内公司想搞啥，就随便封杀国外的同类服务？现在大吹的 UOS 之类的搞起来后，会不会把所有国外的 BSD/Linux 发行版本统统封杀？甚至不再允许国内的开源镜像再同步国外的资源……

txydhr

Apr 3, 2020 via iPhone

从 cloudflare 被劫持可以看出来内部有人靠墙搞黑产。

binsys

Apr 4, 2020

吉林长春电信线路确认被搞，暂时可以改 hosts 解决，不知道后续如何

863

Apr 4, 2020

在广东移动家用宽带测试了一下，现在指向了 CMI HK 的两个 IPv4 地址，非 Akamai，不知道能不能用
···
C:\Users\ThinkPad>nslookup ocsp.int-x3.letsencrypt.org
服务器: UnKnown
Address: 2400:3200::1

非权威应答:
名称: a771.dscq.akamai.net
Addresses: 2600:140e:6::1702:1042
2600:140e:6::1702:1038
2600:140e:6::1702:1043
223.119.50.201
223.119.50.203
Aliases: ocsp.int-x3.letsencrypt.org
ocsp.int-x3.letsencrypt.org.edgesuite.net
···

jin7

Apr 5, 2020

活久见

Primovist

Apr 6, 2020 via iPhone

还没好吗？

Beebird

Apr 13, 2020

不光是证书注册续期，现在访问 https 的性能也下降了，除非使用 OCSP Stapling

keyscrapper

Apr 14, 2020

@V69EX 啊？您才意识到

872517414

Apr 19, 2020

今天访问自己的网站发现 Firefox 提示 MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING 。
看 SSL Labs 的提示是：This server certificate supports OCSP must staple but OCSP response is not stapled.
就感觉很奇怪，排查了服务器发现没问题后，测试了一下域名，我真的是……无话可说。

brMu

Apr 24, 2020

公司证书没有自动更新，原来是这个原因，好可恶！！！

gongjianwei

May 29, 2020

今天碰到了这个问题，阿里的 DNS 解析到 208.43.237.140 ，深圳移动的 DNS 解析到 31.13.85.8 。两个都用不了，解决的方案是改 host，然后把 reslover 注释掉。
出处： https://holmesian.org/letsencrypt-ocsp-fix