Let's Encrypt 证书今早大面积失效

2021-09-30 10:22:08 +08:00
 5sheep

早上收到 N 多用户反馈,在手机 app 访问服务器报错: Unacceptable certificate:CN=R3,O=Let's Encrypt,C=US

于是赶紧到服务器上看了下,证书没过期。 用 PC 浏览器访问,表现正常。 用华为手机浏览器访问,提示不安全,证书失效。

用第三方工具检查: Additional Certificates (if supplied) Certificates provided 2 (2707 bytes) Chain issues Not trusted as supplied #2 Subject R3 Fingerprint SHA256: 730c1bdcd85f57ce5dc0bba733e5f1ba5a925b2a771d640a26f7a454224dad3b Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0= Valid until Wed, 29 Sep 2021 19:21:40 UTC (expired 6 hours and 14 minutes ago) EXPIRED Key RSA 2048 bits (e 65537) Issuer DST Root CA X3 Signature algorithm SHA256withRSA 他的父证书在已经过期几个小时了!! 以为找到了原因。

再回到服务器上检查证书的父证书,完全不一样了: CN = ISRG Root X1 2025 年 9 月 16 日到期!! 还是一切正常!!

现在是 电脑端正常,手机不正常, 第三方工具不正常,服务器正常。 是缓存问题吗,是服务器缓存,客户端缓存,还是中间商缓存

分析不出来,很绝望啊,唯一能做的就剩下了。。。。虾~鸡~霸点!

奇迹真的来了,9 点整他自己给好了。

V 友,帮分析分析,这是哪里的问题啊。

8305 次点击
所在节点    SSL
31 条回复
fengjianxinghun
2021-09-30 10:25:18 +08:00
再国内只要是 Let's Encrypt 的证书就有一点概率随机丢包好像。
cst4you
2021-09-30 10:26:57 +08:00
线上重要场景为什么要用 Let's Encrypt?
2kCS5c0b0ITXE5k2
2021-09-30 10:29:00 +08:00
国内服务.基本上都要备案把. 如果备案了 用国内服务商的证书好点吧. Let's Encrypt 毕竟是免费的 而且是国外的 不一定稳定.
keyfunc
2021-09-30 10:29:37 +08:00
LE 的根今天到期,手机自己好了只是可能手机缓存了有效的交叉根,我觉得你问题应该依然存在。
dunn
2021-09-30 10:31:27 +08:00
国庆了,来这么一出
zydxn
2021-09-30 10:32:02 +08:00
hoichallenger
2021-09-30 10:32:27 +08:00
shanghai1943
2021-09-30 10:32:37 +08:00
我这十点零几分的时候还是有效的,十点半刷了你这帖子后回去刷新一下提示无效了。。
whywaoxaks
2021-09-30 10:36:31 +08:00
我记得前几个月,lets encrypt 停止对老版本协议的支持,也造成过一次大面积失效
ZingLix
2021-09-30 10:37:05 +08:00
LE 的根证书 DST ROOT X3 到期了,但新签发的里面带着一个 ISRG ROOT X1 应该影响不大

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
explon
2021-09-30 10:38:29 +08:00
免费的就是最贵,呵呵呵,花钱买个 DIGI 的证书就没那么多事情
AoEiuV020
2021-09-30 10:41:43 +08:00
吓尿,赶紧看了下,确实根证书快到期了,这机制不太合理啊,根证书居然能签发过期时间比自己还晚的证书,我一直以为根证书只能签自己有效期内的证书的,
exiledkingcc
2021-09-30 10:41:56 +08:00
7 楼链接里面说的很清楚了。
jackmod
2021-09-30 10:50:15 +08:00
Let's Encrypt 的根挂了,用户需要安装系统更新才能继续用。
所以能套 CDN 就套上 CDN,可以避免因为根挂掉导致的问题。
AoEiuV020
2021-09-30 10:54:49 +08:00
我看了下那个过期时间应该是晚上 22 点,楼主怎么早上就出事了?
shanghai1943
2021-09-30 11:19:42 +08:00
我单域名证书还有通配证书都重新安装了一次,现在已恢复正常
wangkun025
2021-09-30 11:22:19 +08:00
我是前几天手工更新过了。所以没遇到这个问题。
以往都是自动更新的。也不知道为什么这次只能手工更新。
mengyx
2021-09-30 11:46:09 +08:00
chotow
2021-09-30 12:37:55 +08:00
楼上一些嫌弃 Let's Encrypt 的,我就看不懂了。
除了之前 OCSP 服务器因不可描述的原因无法访问,其他时候我没觉得哪里有问题。OCSP 的问题后来也解决了。
根证书到期的问题,至少半年前就通知了吧。后面还特地又多搞了个交叉证书,给一堆老设备再续几年。
人家又不收费,带头搞免费证书,一群白嫖人家的还嫌弃哪哪哪不好,真看不懂。
9yu
2021-09-30 12:43:42 +08:00
不看通知的影响业务的活该

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/805339

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX