这是一个创建于 1135 天前的主题,其中的信息可能已经有所发展或是发生改变。
早上收到 N 多用户反馈,在手机 app 访问服务器报错: Unacceptable certificate:CN=R3,O=Let's Encrypt,C=US
于是赶紧到服务器上看了下,证书没过期。 用 PC 浏览器访问,表现正常。 用华为手机浏览器访问,提示不安全,证书失效。
用第三方工具检查: Additional Certificates (if supplied) Certificates provided 2 (2707 bytes) Chain issues Not trusted as supplied #2 Subject R3 Fingerprint SHA256: 730c1bdcd85f57ce5dc0bba733e5f1ba5a925b2a771d640a26f7a454224dad3b Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0= Valid until Wed, 29 Sep 2021 19:21:40 UTC (expired 6 hours and 14 minutes ago) EXPIRED Key RSA 2048 bits (e 65537) Issuer DST Root CA X3 Signature algorithm SHA256withRSA 他的父证书在已经过期几个小时了!! 以为找到了原因。
再回到服务器上检查证书的父证书,完全不一样了: CN = ISRG Root X1 2025 年 9 月 16 日到期!! 还是一切正常!!
现在是 电脑端正常,手机不正常, 第三方工具不正常,服务器正常。 是缓存问题吗,是服务器缓存,客户端缓存,还是中间商缓存
分析不出来,很绝望啊,唯一能做的就剩下了。。。。虾~鸡~霸点!
奇迹真的来了,9 点整他自己给好了。
V 友,帮分析分析,这是哪里的问题啊。
第 1 条附言 · 2021-09-30 13:43:19 +08:00
感谢 V 友的回复,很受启发。
经过这几个小时的验证。大概率是 IIS 和证书自动更新程序的锅
再回顾下问题:PC 端可以,手机端不行,后面又发现 java 调用 api 也报证书问题
在 iis 中手动重新绑定下证书,问题就都解决了。
经过这几个小时的验证。大概率是 IIS 和证书自动更新程序的锅
再回顾下问题:PC 端可以,手机端不行,后面又发现 java 调用 api 也报证书问题
在 iis 中手动重新绑定下证书,问题就都解决了。
 |
1
fengjianxinghun 2021-09-30 10:25:18 +08:00  1
再国内只要是 Let's Encrypt 的证书就有一点概率随机丢包好像。
|
 |
2
cst4you 2021-09-30 10:26:57 +08:00
线上重要场景为什么要用 Let's Encrypt?
|
 |
3
2kCS5c0b0ITXE5k2 2021-09-30 10:29:00 +08:00
国内服务.基本上都要备案把. 如果备案了 用国内服务商的证书好点吧. Let's Encrypt 毕竟是免费的 而且是国外的 不一定稳定.
|
 |
4
keyfunc 2021-09-30 10:29:37 +08:00
LE 的根今天到期,手机自己好了只是可能手机缓存了有效的交叉根,我觉得你问题应该依然存在。
|
 |
5
dunn 2021-09-30 10:31:27 +08:00
国庆了,来这么一出
|
 |
6
zydxn 2021-09-30 10:32:02 +08:00
|
 |
7
hoichallenger 2021-09-30 10:32:27 +08:00 1
|
 |
8
shanghai1943 2021-09-30 10:32:37 +08:00
我这十点零几分的时候还是有效的,十点半刷了你这帖子后回去刷新一下提示无效了。。
|
 |
9
whywaoxaks 2021-09-30 10:36:31 +08:00
我记得前几个月,lets encrypt 停止对老版本协议的支持,也造成过一次大面积失效
|
 |
10
ZingLix 2021-09-30 10:37:05 +08:00 1
LE 的根证书 DST ROOT X3 到期了,但新签发的里面带着一个 ISRG ROOT X1 应该影响不大
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/ |
 |
11
explon 2021-09-30 10:38:29 +08:00
免费的就是最贵,呵呵呵,花钱买个 DIGI 的证书就没那么多事情
|
 |
12
AoEiuV020 2021-09-30 10:41:43 +08:00
吓尿,赶紧看了下,确实根证书快到期了,这机制不太合理啊,根证书居然能签发过期时间比自己还晚的证书,我一直以为根证书只能签自己有效期内的证书的,
|
 |
13
exiledkingcc 2021-09-30 10:41:56 +08:00
7 楼链接里面说的很清楚了。
|
 |
14
jackmod 2021-09-30 10:50:15 +08:00
Let's Encrypt 的根挂了,用户需要安装系统更新才能继续用。
所以能套 CDN 就套上 CDN,可以避免因为根挂掉导致的问题。 |
|
15
AoEiuV020 2021-09-30 10:54:49 +08:00 1
我看了下那个过期时间应该是晚上 22 点,楼主怎么早上就出事了?
|
|
16
shanghai1943 2021-09-30 11:19:42 +08:00
我单域名证书还有通配证书都重新安装了一次,现在已恢复正常
|
 |
17
wangkun025 2021-09-30 11:22:19 +08:00
我是前几天手工更新过了。所以没遇到这个问题。
以往都是自动更新的。也不知道为什么这次只能手工更新。 |
 |
18
mengyx 2021-09-30 11:46:09 +08:00 2
|
 |
19
chotow 2021-09-30 12:37:55 +08:00 via iPhone 15
楼上一些嫌弃 Let's Encrypt 的,我就看不懂了。
除了之前 OCSP 服务器因不可描述的原因无法访问,其他时候我没觉得哪里有问题。OCSP 的问题后来也解决了。 根证书到期的问题,至少半年前就通知了吧。后面还特地又多搞了个交叉证书,给一堆老设备再续几年。 人家又不收费,带头搞免费证书,一群白嫖人家的还嫌弃哪哪哪不好,真看不懂。 |
 |
20
9yu 2021-09-30 12:43:42 +08:00 via iPhone
不看通知的影响业务的活该
|
 |
21
laucenmi 2021-09-30 13:18:38 +08:00
@wangkun025 acme.sh 自动更新到 ISRG ROOT X1 了
|
|
22
wangkun025 2021-09-30 13:26:50 +08:00
@laucenmi 我好像用的是 centbot 。具体是什么,我也不知道。sorry,不是很专业,就拿来用用。
|
 |
23
phy25 2021-09-30 13:50:39 +08:00 via Android
|
 |
24
wdlth 2021-09-30 21:45:24 +08:00
已经换了 buypass 的
|
 |
25
elboble 2021-10-01 10:42:17 +08:00
个人网站国内手续齐全挂阿里云上,一直用的 lets 的免费证书,昨天收到阿里的邮件通知我 lets 还有 30 天到期要去续费,我想了下,这个好像和阿里无关啊,但是还是在阿里控制台上点了下续费的按钮,最少 1000 起,当然放弃了。。。
|
 |
26
est 2021-10-01 10:53:43 +08:00
老版本 OS 需要手动更新。手动导入新的根 https://blog.est.im/2021/stdout-013
|
 |
27
BitCert 2021-10-01 10:54:11 +08:00
根证书到期
|
 |
28
makelove 2021-10-06 10:33:19 +08:00
卧槽了,前几天看了以为和我无关,想不到我也中招了,这个带新根的证书在老设备上不能用。
不过 acme.sh 新的默认提供者 zerossl 的似乎可以在老设备上用。 |
 |
29
milkleeeeee 2021-10-08 01:44:54 +08:00
卧也槽了,我正准备在这发帖问为嘛老有用户反馈我证书过期了,估计就是这个问题
|
 |
30
roostinghawk 2021-10-08 15:02:28 +08:00
也遇到了,而且是后台的 https 请求失败,楼上都怎么解决的?
|
 |
31
aes114514gcm 2021-10-10 16:34:54 +08:00 via Android
我去年就在用 acme.sh 申请备用链证书( isrg 根)
|
Select Language