首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
863
V2EX  ›  宽带症候群

国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被污染了?

  •  3
     
  •   863 · 61 天前 · 5629 次点击
    这是一个创建于 61 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上续签 Let's Encrypt 的证书,发现报

    [WARNING] Stapling OCSP: no OCSP stapling for [*.com]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp 88.191.249.182:80: i/o timeout

    nslookup 后发现

    nslookup ocsp.int-x3.letsencrypt.org
    Server:         127.0.0.53
    Address:        127.0.0.53#53
    
    Non-authoritative answer:
    ocsp.int-x3.letsencrypt.org     canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
    ocsp.int-x3.letsencrypt.org.edgesuite.net       canonical name = a771.dscq.akamai.net.
    Name:   a771.dscq.akamai.net
    Address: 31.13.65.1
    Name:   a771.dscq.akamai.net
    Address: 2001::4b7e:8783
    

    用 ipip 的 DNS 解析得到同样结果

    第 1 条附言  ·  60 天前
    更正,标题 OSCP 应为 OCSP,一时手快打错了
    40 条回复    2020-05-29 04:29:27 +08:00
    Tianao
        1
    Tianao   61 天前
    确实,本地电信的和几家公共 DNS 证实污染。
    mytsing520
        2
    mytsing520   61 天前
    是这个 a771.dscq.akamai.net 被污染
    DGideas
        3
    DGideas   61 天前
    真遗憾
    bclerdx
        4
    bclerdx   61 天前
    确实被污染了。真可恶。
    mnihyc
        5
    mnihyc   61 天前
    a771.dscq.akamai.net 解析 IPv4 被污染,IPv6 结果仍正常
    ochatokori
        6
    ochatokori   61 天前 via Android
    确实,不给活路呀
    heqiaokyou
        7
    heqiaokyou   61 天前
    用国内 DNS 就的确是污染了。换成国外的 DNS 就正确解析,说明只是污染了并没有做劫持。这就有点奇怪了。
    Xusually
        8
    Xusually   61 天前
    不知道是整体污染了 akamai 的 CDN 还是专门要污染 let's encrypt ?
    jousca
        9
    jousca   61 天前
    @Xusually akamai 的 CDN 经常被污染
    testcaoy7
        10
    testcaoy7   61 天前   ❤️ 1
    可恶
    stille
        11
    stille   61 天前
    昨天晚上用 acme.sh 的 docker 版本申请 dnspod 的,cloudflare 的各种失败...
    脚本版本的申请 cloudflare 的也全都无法认证 txt 记录...国外 vps 国内 vps 都试过...搞了几个小时
    ragnaroks
        12
    ragnaroks   61 天前
    @Xusually 初略用 nslookup 测试了一下,目前只发现 a771 被污染
    ragnaroks
        13
    ragnaroks   61 天前
    我也是刚才申请证书各种失败,
    不知道出于何种理由,不过足够恶心了
    Xusually
        14
    Xusually   61 天前
    @ragnaroks @jousca 那就尴尬了,有意为之的话 acme.sh 用户都被影响了
    cwek
        15
    cwek   61 天前
    用海外机器认证完再拉回来?
    villivateur
        16
    villivateur   61 天前 via Android   ❤️ 2
    华东地区,阿里云腾讯云华为云均复现。
    墙真的有病,无关民间疾苦。
    话说会不会跟前段时间 GitHub HTTPS 中间人攻击相关。
    V69EX
        17
    V69EX   61 天前   ❤️ 4
    国内貌似也有公司开始搞免费证书了,估计这是要把用户赶到国内流氓公司的口袋里呀……:-D
    love
        18
    love   61 天前
    话说管理墙的公司在哪个位置,这特么随便就封的吗
    terence4444
        19
    terence4444   60 天前
    离封闭又近一步
    863
        20
    863   60 天前
    @mnihyc 我这里是教育网,IPv4 和 IPv6 均污染
    ```
    Non-authoritative answer:
    ocsp.int-x3.letsencrypt.org canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
    ocsp.int-x3.letsencrypt.org.edgesuite.net canonical name = a771.dscq.akamai.net.
    Name: a771.dscq.akamai.net
    Address: 199.16.156.7
    Name: a771.dscq.akamai.net
    Address: 2001::1f0d:4801
    ```
    mnihyc
        21
    mnihyc   60 天前
    @863 我这 IPv6 是好的
    c:\>nslookup a771.dscq.a kamai.net 223.5 .5.5
    Server: public1.ali dns.com
    Address: 223. 5.5.5

    Non-authoritative answer:
    Name: a771.dscq .akamai.net
    Addresses: 2600:1417:76::6874:f3cb
    2600:1417:76::17d2:d741
    31.13.68.1
    LGA1150
        22
    LGA1150   60 天前
    目前可以改 hosts 上,不会 TCP RST
    webshe11
        23
    webshe11   60 天前
    @love
    答第一问:话说管理墙的公司在哪个位置
    北京市朝阳区安贞街道裕民路甲 3 号
    答第二问:这特么随便就封的吗
    是的
    agagega
        24
    agagega   60 天前   ❤️ 1
    每次看到这种贴子,不得不感叹程序员的世界和所谓大众的割裂,唉。
    你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?
    zk8802
        25
    zk8802   60 天前
    > 你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?

    等他们被专政的铁拳击中之后,自然会理解的。
    taobibi
        26
    taobibi   60 天前
    @love 国内 360 公司是墙的首席技术支持,估计 360 公司要搞免费证书了。
    taobibi
        27
    taobibi   60 天前
    @webshe11 目前已知墙的管理方面属于行政部门,技术支持是 360 和企鹅
    cloudyi666
        28
    cloudyi666   60 天前 via iPhone
    @webshe11 之前这个里面有个保洁阿姨被确诊了,怀疑是个阴谋
    cloudyi666
        29
    cloudyi666   60 天前 via iPhone
    @taobibi 首席还是那必须还得方校长
    V69EX
        30
    V69EX   60 天前   ❤️ 2
    @taobibi 这它妹的,以后岂不是只要国内公司想搞啥,就随便封杀国外的同类服务?现在大吹的 UOS 之类的搞起来后,会不会把所有国外的 BSD/Linux 发行版本统统封杀?甚至不再允许国内的开源镜像再同步国外的资源……
    txydhr
        31
    txydhr   60 天前 via iPhone
    从 cloudflare 被劫持可以看出来内部有人靠墙搞黑产。
    binsys
        32
    binsys   59 天前
    吉林长春电信线路确认被搞,暂时可以改 hosts 解决,不知道后续如何
    863
        33
    863   59 天前
    在广东移动家用宽带测试了一下,现在指向了 CMI HK 的两个 IPv4 地址,非 Akamai,不知道能不能用
    ···
    C:\Users\ThinkPad>nslookup ocsp.int-x3.letsencrypt.org
    服务器: UnKnown
    Address: 2400:3200::1

    非权威应答:
    名称: a771.dscq.akamai.net
    Addresses: 2600:140e:6::1702:1042
    2600:140e:6::1702:1038
    2600:140e:6::1702:1043
    223.119.50.201
    223.119.50.203
    Aliases: ocsp.int-x3.letsencrypt.org
    ocsp.int-x3.letsencrypt.org.edgesuite.net
    ···
    jin7
        34
    jin7   58 天前
    活久见
    Primovist
        35
    Primovist   57 天前 via iPhone
    还没好吗?
    Beebird
        36
    Beebird   50 天前
    不光是证书注册续期,现在访问 https 的性能也下降了,除非使用 OCSP Stapling
    keyscrapper
        37
    keyscrapper   49 天前
    @V69EX 啊?您才意识到
    872517414
        38
    872517414   43 天前
    今天访问自己的网站发现 Firefox 提示 MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING 。
    看 SSL Labs 的提示是:This server certificate supports OCSP must staple but OCSP response is not stapled.
    就感觉很奇怪,排查了服务器发现没问题后,测试了一下域名,我真的是……无话可说。
    brMu
        39
    brMu   39 天前
    公司证书没有自动更新,原来是这个原因,好可恶!!!
    gongjianwei
        40
    gongjianwei   4 天前
    今天碰到了这个问题,阿里的 DNS 解析到 208.43.237.140 ,深圳移动的 DNS 解析到 31.13.85.8 。两个都用不了,解决的方案是改 host,然后把 reslover 注释掉。
    出处: https://holmesian.org/letsencrypt-ocsp-fix
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3253 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:41 · PVG 21:41 · LAX 06:41 · JFK 09:41
    ♥ Do have faith in what you're doing.