Let's Encrypt 的 OSCP 域名被污染,对打开 LE 证书的网站有实际影响吗?
Buffer2Disk · 2020-04-12 20:50:13 +08:00 · 8705 次点击这是一个创建于 1684 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被 DNS 污染,
已知的问题是会对域名证书的续期造成影响,目前服务器上改 host 可以解决,不知道有没有啥更好的解决方案?
听说不同的浏览器对 OSCP 验证的处理不同,如果有些浏览器要先验证 OSCP 的话,那 OSCP 域名被 DNS 被污染后,打开网站的体验就会非常不好了
查了一些资料感觉年代有点久远了,资料上写的是:
chrome 好像是忽视了 OSCP 的验证,IE 和 Safari 都需要 OSCP 验证
但是我实测了下,用 IE 打开 Let's Encrypt 签发证书的网站,好像挺顺畅的,没啥影响
(服务器 nginx 那边确定是没开 ssl_stapling,难道客户端有缓存的原因?)
已知的问题是会对域名证书的续期造成影响,目前服务器上改 host 可以解决,不知道有没有啥更好的解决方案?
听说不同的浏览器对 OSCP 验证的处理不同,如果有些浏览器要先验证 OSCP 的话,那 OSCP 域名被 DNS 被污染后,打开网站的体验就会非常不好了
查了一些资料感觉年代有点久远了,资料上写的是:
chrome 好像是忽视了 OSCP 的验证,IE 和 Safari 都需要 OSCP 验证
但是我实测了下,用 IE 打开 Let's Encrypt 签发证书的网站,好像挺顺畅的,没啥影响
(服务器 nginx 那边确定是没开 ssl_stapling,难道客户端有缓存的原因?)
 |
1
dot2017 2020-04-12 21:38:41 +08:00
人家这个域名解析的 IP 只是禁 ping 而已,哪里被污染了,ipip 里查都正常
|
 |
4
yulihao 2020-04-12 21:45:50 +08:00
我测试到实际无影响,都能开
|
|
5
dot2017 2020-04-12 21:45:51 +08:00
不过反过来说如果是 cname 污染,那可能是别的一个域名被封了,然后那个也用了相同的 cname……
|
|
6
yulihao 2020-04-12 21:49:20 +08:00
|
|
7
dot2017 2020-04-12 22:32:13 +08:00
@yulihao 算前后节点没意思的,a771 可能分配给了一堆域名。然后其中一个被 gfw 封了。这种事 fastly 和 edgecast 都有
|
 |
8
mytsing520 2020-04-12 23:43:53 +08:00
@dot2017 好像没看到过,Akamai 每个用户都有一个编号,这点算的还比较清楚
|
 |
9
lanternxx 2020-04-13 00:19:47 +08:00
没有实际影响。Chrome 不验证 OSCP,firefox 和 IE 会验证,但验证失败会被视为证书有效。
|
 |
10
Buffer2Disk OP @lanternxx 那么验证失败的流程具体咋样的呢,我查了下资料,火狐好像是验证超时 2 秒的话,就放弃验证了。那么如果没有缓存机制的话,每次打开网页都需要至少 2 秒以上了…
|
|
11
Buffer2Disk OP 相当于凭空多增加了了 2 秒 oscp 的验证时间
|
 |
12
1234rty 2020-04-13 01:39:43 +08:00 via Android
会影响某些 BT 软件连接 trackers 服务器,报 OSCP 验证失败
|
 |
13
webshe11 2020-04-13 01:54:52 +08:00
我说怎么刚才运行个 `certbot certificates` 都能卡半天,凭直觉感觉 DNS 有毛病,加了 hosts
|
 |
14
geekzu 2020-04-13 03:08:00 +08:00 via Android  1
@Buffer2Disk 前几天测了,Firefox 74,对 LE 证书不发 OCSP 请求(没有 OCSP 装订的情况下),猜测是硬编码了策略,对于其他证书,软失败时长似乎是 4s,首包会卡
IE11 测试首包软失败会卡几十秒,影响比较严重 Safari 手头没有设备,没有办法做详细测试 |
 |
15
eason1874 2020-04-13 03:43:40 +08:00 1
@geekzu #14 原来 IE11 首屏卡是这个问题,我还以为是 IE11 本身的问题。
刚看你这么说,我去试了下,反复测试确认我这卡约 16 秒,然后打开 Nginx 的 ssl_stapling on; ssl_stapling_verify on; 再试,几乎秒开了,看来打开这个功能还是有必要的。 |
 |
16
INTEL2333 2020-04-13 08:13:33 +08:00
被污染,看了下去印度 fb 了
|
 |
17
nieqibest 2020-04-13 08:24:14 +08:00 via Android
开了 stapling, 我的 nginx error 日志一直报连不上
|
 |
18
sinv 2020-04-13 09:05:31 +08:00 via Android
O C S P !!!
|
 |
19
id7368 2020-04-13 09:07:13 +08:00 via iPhone
Let’s Encrypty 免费证书用户请注意:你的证书可能已经无法签发 /更新: https://www.landiannews.com/archives/72082.html 4 月 4 就这样了,关键这有啥好污染的,还得用 x 产证书么。😓
|
 |
20
yylzcom 2020-04-13 09:10:48 +08:00
我在写 nginx 配置的时候开启了 ssl_stapling on;
resolver 里填写的是 114.114.114.114 然后就悲剧了,Nginx 启动一直提示 timeout,换了 8.8.8.8 之后好了 |
|
21
Buffer2Disk OP |
|
24
eason1874 2020-04-13 17:50:45 +08:00
@Buffer2Disk #21 好像偶尔抽风,我看日志里 www.google-analytics.com 一天有一次两次 time out,基本不影响。
如果实在担心,搞个定时脚本自己获取正确的 OCSP response 保存到文件给 ssl_stapling_file 调用,这样一次两次的解析失败应该就不能影响到任何用户了。 |
|
25
Buffer2Disk OP |
 |
26
happylty 2020-04-13 22:32:51 +08:00
|
|
27
happylty 2020-04-13 22:40:07 +08:00
IPv4 是 192.64.119.254
美国 亚利桑那州 凤凰城 ping 测试 249 ms |
 |
29
bagel 2020-04-18 23:01:53 +08:00
为什么 OSCP 域名被污染“会对域名证书的续期造成影响”? OSCP 是客户端验证,和证书更新是两套机制吧?难道证书更新续期也用的这个域名?我就在用 Let's Encrypt 的证书,在考虑是不是要换。
|
|
30
Buffer2Disk OP @bagel 你自己试试更新证书看看,我在更新证书的时候就碰到调用这个域名的问题了
|
 |
31
Croath 2020-04-20 13:55:19 +08:00
同样问题遇到了,换了证书之后秒开了。
断断续续半个月时间社区里 iOS 用户不断反应这个问题。谢谢大家提供的思路和实验。 |
Select Language