V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
863
V2EX  ›  宽带症候群

国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被污染了?

  •  5
     
  •   863 · 2020-04-02 12:25:41 +08:00 · 13867 次点击
    这是一个创建于 1694 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上续签 Let's Encrypt 的证书,发现报

    [WARNING] Stapling OCSP: no OCSP stapling for [*.com]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp 88.191.249.182:80: i/o timeout

    nslookup 后发现

    nslookup ocsp.int-x3.letsencrypt.org
    Server:         127.0.0.53
    Address:        127.0.0.53#53
    
    Non-authoritative answer:
    ocsp.int-x3.letsencrypt.org     canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
    ocsp.int-x3.letsencrypt.org.edgesuite.net       canonical name = a771.dscq.akamai.net.
    Name:   a771.dscq.akamai.net
    Address: 31.13.65.1
    Name:   a771.dscq.akamai.net
    Address: 2001::4b7e:8783
    

    用 ipip 的 DNS 解析得到同样结果

    第 1 条附言  ·  2020-04-02 22:07:16 +08:00
    更正,标题 OSCP 应为 OCSP,一时手快打错了
    40 条回复    2020-05-29 04:29:27 +08:00
    Tianao
        1
    Tianao  
       2020-04-02 12:33:22 +08:00
    确实,本地电信的和几家公共 DNS 证实污染。
    mytsing520
        2
    mytsing520  
       2020-04-02 12:49:53 +08:00
    是这个 a771.dscq.akamai.net 被污染
    DGideas
        3
    DGideas  
       2020-04-02 14:22:38 +08:00
    真遗憾
    bclerdx
        4
    bclerdx  
       2020-04-02 15:45:32 +08:00
    确实被污染了。真可恶。
    mnihyc
        5
    mnihyc  
       2020-04-02 16:39:53 +08:00
    a771.dscq.akamai.net 解析 IPv4 被污染,IPv6 结果仍正常
    ochatokori
        6
    ochatokori  
       2020-04-02 17:16:34 +08:00 via Android
    确实,不给活路呀
    heqiaokyou
        7
    heqiaokyou  
       2020-04-02 18:29:42 +08:00
    用国内 DNS 就的确是污染了。换成国外的 DNS 就正确解析,说明只是污染了并没有做劫持。这就有点奇怪了。
    Xusually
        8
    Xusually  
       2020-04-02 18:32:49 +08:00
    不知道是整体污染了 akamai 的 CDN 还是专门要污染 let's encrypt ?
    jousca
        9
    jousca  
       2020-04-02 18:39:53 +08:00
    @Xusually akamai 的 CDN 经常被污染
    testcaoy7
        10
    testcaoy7  
       2020-04-02 19:07:23 +08:00   ❤️ 1
    可恶
    stille
        11
    stille  
       2020-04-02 19:35:22 +08:00
    昨天晚上用 acme.sh 的 docker 版本申请 dnspod 的,cloudflare 的各种失败...
    脚本版本的申请 cloudflare 的也全都无法认证 txt 记录...国外 vps 国内 vps 都试过...搞了几个小时
    ragnaroks
        12
    ragnaroks  
       2020-04-02 19:51:40 +08:00
    @Xusually 初略用 nslookup 测试了一下,目前只发现 a771 被污染
    ragnaroks
        13
    ragnaroks  
       2020-04-02 19:52:24 +08:00
    我也是刚才申请证书各种失败,
    不知道出于何种理由,不过足够恶心了
    Xusually
        14
    Xusually  
       2020-04-02 20:16:59 +08:00
    @ragnaroks @jousca 那就尴尬了,有意为之的话 acme.sh 用户都被影响了
    cwek
        15
    cwek  
       2020-04-02 20:20:00 +08:00
    用海外机器认证完再拉回来?
    villivateur
        16
    villivateur  
       2020-04-02 20:34:50 +08:00 via Android   ❤️ 2
    华东地区,阿里云腾讯云华为云均复现。
    墙真的有病,无关民间疾苦。
    话说会不会跟前段时间 GitHub HTTPS 中间人攻击相关。
    V69EX
        17
    V69EX  
       2020-04-02 20:42:21 +08:00   ❤️ 4
    国内貌似也有公司开始搞免费证书了,估计这是要把用户赶到国内流氓公司的口袋里呀……:-D
    love
        18
    love  
       2020-04-02 21:02:08 +08:00
    话说管理墙的公司在哪个位置,这特么随便就封的吗
    terence4444
        19
    terence4444  
       2020-04-02 21:44:27 +08:00
    离封闭又近一步
    863
        20
    863  
    OP
       2020-04-02 22:01:52 +08:00
    @mnihyc 我这里是教育网,IPv4 和 IPv6 均污染
    ```
    Non-authoritative answer:
    ocsp.int-x3.letsencrypt.org canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
    ocsp.int-x3.letsencrypt.org.edgesuite.net canonical name = a771.dscq.akamai.net.
    Name: a771.dscq.akamai.net
    Address: 199.16.156.7
    Name: a771.dscq.akamai.net
    Address: 2001::1f0d:4801
    ```
    mnihyc
        21
    mnihyc  
       2020-04-02 22:25:34 +08:00
    @863 我这 IPv6 是好的
    c:\>nslookup a771.dscq.a kamai.net 223.5 .5.5
    Server: public1.ali dns.com
    Address: 223. 5.5.5

    Non-authoritative answer:
    Name: a771.dscq .akamai.net
    Addresses: 2600:1417:76::6874:f3cb
    2600:1417:76::17d2:d741
    31.13.68.1
    LGA1150
        22
    LGA1150  
       2020-04-02 22:25:49 +08:00
    目前可以改 hosts 上,不会 TCP RST
    webshe11
        23
    webshe11  
       2020-04-03 01:46:15 +08:00   ❤️ 1
    @love
    答第一问:话说管理墙的公司在哪个位置
    北京市朝阳区安贞街道裕民路甲 3 号
    答第二问:这特么随便就封的吗
    是的
    agagega
        24
    agagega  
       2020-04-03 01:53:51 +08:00   ❤️ 1
    每次看到这种贴子,不得不感叹程序员的世界和所谓大众的割裂,唉。
    你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?
    zk8802
        25
    zk8802  
       2020-04-03 08:28:23 +08:00
    > 你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?

    等他们被专政的铁拳击中之后,自然会理解的。
    taobibi
        26
    taobibi  
       2020-04-03 08:35:47 +08:00
    @love 国内 360 公司是墙的首席技术支持,估计 360 公司要搞免费证书了。
    taobibi
        27
    taobibi  
       2020-04-03 08:37:04 +08:00
    @webshe11 目前已知墙的管理方面属于行政部门,技术支持是 360 和企鹅
    cloudyi666
        28
    cloudyi666  
       2020-04-03 08:55:06 +08:00 via iPhone
    @webshe11 之前这个里面有个保洁阿姨被确诊了,怀疑是个阴谋
    cloudyi666
        29
    cloudyi666  
       2020-04-03 08:56:48 +08:00 via iPhone
    @taobibi 首席还是那必须还得方校长
    V69EX
        30
    V69EX  
       2020-04-03 10:15:48 +08:00   ❤️ 2
    @taobibi 这它妹的,以后岂不是只要国内公司想搞啥,就随便封杀国外的同类服务?现在大吹的 UOS 之类的搞起来后,会不会把所有国外的 BSD/Linux 发行版本统统封杀?甚至不再允许国内的开源镜像再同步国外的资源……
    txydhr
        31
    txydhr  
       2020-04-03 10:24:29 +08:00 via iPhone
    从 cloudflare 被劫持可以看出来内部有人靠墙搞黑产。
    binsys
        32
    binsys  
       2020-04-04 17:08:34 +08:00
    吉林长春电信线路确认被搞,暂时可以改 hosts 解决,不知道后续如何
    863
        33
    863  
    OP
       2020-04-04 17:52:07 +08:00
    在广东移动家用宽带测试了一下,现在指向了 CMI HK 的两个 IPv4 地址,非 Akamai,不知道能不能用
    ···
    C:\Users\ThinkPad>nslookup ocsp.int-x3.letsencrypt.org
    服务器: UnKnown
    Address: 2400:3200::1

    非权威应答:
    名称: a771.dscq.akamai.net
    Addresses: 2600:140e:6::1702:1042
    2600:140e:6::1702:1038
    2600:140e:6::1702:1043
    223.119.50.201
    223.119.50.203
    Aliases: ocsp.int-x3.letsencrypt.org
    ocsp.int-x3.letsencrypt.org.edgesuite.net
    ···
    jin7
        34
    jin7  
       2020-04-05 14:03:13 +08:00
    活久见
    Primovist
        35
    Primovist  
       2020-04-06 20:02:06 +08:00 via iPhone
    还没好吗?
    Beebird
        36
    Beebird  
       2020-04-13 19:24:13 +08:00
    不光是证书注册续期,现在访问 https 的性能也下降了,除非使用 OCSP Stapling
    keyscrapper
        37
    keyscrapper  
       2020-04-14 16:15:04 +08:00
    @V69EX 啊?您才意识到
    872517414
        38
    872517414  
       2020-04-19 22:20:28 +08:00
    今天访问自己的网站发现 Firefox 提示 MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING 。
    看 SSL Labs 的提示是:This server certificate supports OCSP must staple but OCSP response is not stapled.
    就感觉很奇怪,排查了服务器发现没问题后,测试了一下域名,我真的是……无话可说。
    brMu
        39
    brMu  
       2020-04-24 16:43:18 +08:00
    公司证书没有自动更新,原来是这个原因,好可恶!!!
    gongjianwei
        40
    gongjianwei  
       2020-05-29 04:29:27 +08:00
    今天碰到了这个问题,阿里的 DNS 解析到 208.43.237.140 ,深圳移动的 DNS 解析到 31.13.85.8 。两个都用不了,解决的方案是改 host,然后把 reslover 注释掉。
    出处: https://holmesian.org/letsencrypt-ocsp-fix
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   968 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 21:56 · PVG 05:56 · LAX 13:56 · JFK 16:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.