V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
5sheep
V2EX  ›  SSL

Let's Encrypt 证书今早大面积失效

  •  
  •   5sheep · 66 天前 · 5015 次点击
    这是一个创建于 66 天前的主题,其中的信息可能已经有所发展或是发生改变。

    早上收到 N 多用户反馈,在手机 app 访问服务器报错: Unacceptable certificate:CN=R3,O=Let's Encrypt,C=US

    于是赶紧到服务器上看了下,证书没过期。 用 PC 浏览器访问,表现正常。 用华为手机浏览器访问,提示不安全,证书失效。

    用第三方工具检查: Additional Certificates (if supplied) Certificates provided 2 (2707 bytes) Chain issues Not trusted as supplied #2 Subject R3 Fingerprint SHA256: 730c1bdcd85f57ce5dc0bba733e5f1ba5a925b2a771d640a26f7a454224dad3b Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0= Valid until Wed, 29 Sep 2021 19:21:40 UTC (expired 6 hours and 14 minutes ago) EXPIRED Key RSA 2048 bits (e 65537) Issuer DST Root CA X3 Signature algorithm SHA256withRSA 他的父证书在已经过期几个小时了!! 以为找到了原因。

    再回到服务器上检查证书的父证书,完全不一样了: CN = ISRG Root X1 2025 年 9 月 16 日到期!! 还是一切正常!!

    现在是 电脑端正常,手机不正常, 第三方工具不正常,服务器正常。 是缓存问题吗,是服务器缓存,客户端缓存,还是中间商缓存

    分析不出来,很绝望啊,唯一能做的就剩下了。。。。虾~鸡~霸点!

    奇迹真的来了,9 点整他自己给好了。

    V 友,帮分析分析,这是哪里的问题啊。

    第 1 条附言  ·  66 天前
    感谢 V 友的回复,很受启发。

    经过这几个小时的验证。大概率是 IIS 和证书自动更新程序的锅

    再回顾下问题:PC 端可以,手机端不行,后面又发现 java 调用 api 也报证书问题

    在 iis 中手动重新绑定下证书,问题就都解决了。
    31 条回复    2021-10-10 16:34:54 +08:00
    fengjianxinghun
        1
    fengjianxinghun  
       66 天前   ❤️ 1
    再国内只要是 Let's Encrypt 的证书就有一点概率随机丢包好像。
    cst4you
        2
    cst4you  
       66 天前
    线上重要场景为什么要用 Let's Encrypt?
    emeab
        3
    emeab  
       66 天前
    国内服务.基本上都要备案把. 如果备案了 用国内服务商的证书好点吧. Let's Encrypt 毕竟是免费的 而且是国外的 不一定稳定.
    keyfunc
        4
    keyfunc  
       66 天前
    LE 的根今天到期,手机自己好了只是可能手机缓存了有效的交叉根,我觉得你问题应该依然存在。
    dunn
        5
    dunn  
       66 天前
    国庆了,来这么一出
    zydxn
        6
    zydxn  
       66 天前
    hoichallenger
        7
    hoichallenger  
       66 天前   ❤️ 1
    shanghai1943
        8
    shanghai1943  
       66 天前
    我这十点零几分的时候还是有效的,十点半刷了你这帖子后回去刷新一下提示无效了。。
    whywaoxaks
        9
    whywaoxaks  
       66 天前
    我记得前几个月,lets encrypt 停止对老版本协议的支持,也造成过一次大面积失效
    ZingLix
        10
    ZingLix  
       66 天前   ❤️ 1
    LE 的根证书 DST ROOT X3 到期了,但新签发的里面带着一个 ISRG ROOT X1 应该影响不大

    https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
    explon
        11
    explon  
       66 天前
    免费的就是最贵,呵呵呵,花钱买个 DIGI 的证书就没那么多事情
    AoEiuV020
        12
    AoEiuV020  
       66 天前
    吓尿,赶紧看了下,确实根证书快到期了,这机制不太合理啊,根证书居然能签发过期时间比自己还晚的证书,我一直以为根证书只能签自己有效期内的证书的,
    exiledkingcc
        13
    exiledkingcc  
       66 天前
    7 楼链接里面说的很清楚了。
    jackmod
        14
    jackmod  
       66 天前
    Let's Encrypt 的根挂了,用户需要安装系统更新才能继续用。
    所以能套 CDN 就套上 CDN,可以避免因为根挂掉导致的问题。
    AoEiuV020
        15
    AoEiuV020  
       66 天前   ❤️ 1
    我看了下那个过期时间应该是晚上 22 点,楼主怎么早上就出事了?
    shanghai1943
        16
    shanghai1943  
       66 天前
    我单域名证书还有通配证书都重新安装了一次,现在已恢复正常
    wangkun025
        17
    wangkun025  
       66 天前
    我是前几天手工更新过了。所以没遇到这个问题。
    以往都是自动更新的。也不知道为什么这次只能手工更新。
    mengyx
        18
    mengyx  
       66 天前   ❤️ 2
    chotow
        19
    chotow  
       66 天前 via iPhone   ❤️ 14
    楼上一些嫌弃 Let's Encrypt 的,我就看不懂了。
    除了之前 OCSP 服务器因不可描述的原因无法访问,其他时候我没觉得哪里有问题。OCSP 的问题后来也解决了。
    根证书到期的问题,至少半年前就通知了吧。后面还特地又多搞了个交叉证书,给一堆老设备再续几年。
    人家又不收费,带头搞免费证书,一群白嫖人家的还嫌弃哪哪哪不好,真看不懂。
    9yu
        20
    9yu  
       66 天前 via iPhone
    不看通知的影响业务的活该
    laucenmi
        21
    laucenmi  
       66 天前
    @wangkun025 acme.sh 自动更新到 ISRG ROOT X1 了
    wangkun025
        22
    wangkun025  
       66 天前
    @laucenmi 我好像用的是 centbot 。具体是什么,我也不知道。sorry,不是很专业,就拿来用用。
    phy25
        23
    phy25  
       66 天前 via Android
    wdlth
        24
    wdlth  
       66 天前
    已经换了 buypass 的
    elboble
        25
    elboble  
       65 天前
    个人网站国内手续齐全挂阿里云上,一直用的 lets 的免费证书,昨天收到阿里的邮件通知我 lets 还有 30 天到期要去续费,我想了下,这个好像和阿里无关啊,但是还是在阿里控制台上点了下续费的按钮,最少 1000 起,当然放弃了。。。
    est
        26
    est  
       65 天前
    老版本 OS 需要手动更新。手动导入新的根 https://blog.est.im/2021/stdout-013
    BitCert
        27
    BitCert  
       65 天前
    根证书到期
    makelove
        28
    makelove  
       60 天前
    卧槽了,前几天看了以为和我无关,想不到我也中招了,这个带新根的证书在老设备上不能用。
    不过 acme.sh 新的默认提供者 zerossl 的似乎可以在老设备上用。
    milkleeeeee
        29
    milkleeeeee  
       59 天前
    卧也槽了,我正准备在这发帖问为嘛老有用户反馈我证书过期了,估计就是这个问题
    roostinghawk
        30
    roostinghawk  
       58 天前
    也遇到了,而且是后台的 https 请求失败,楼上都怎么解决的?
    aes114514gcm
        31
    aes114514gcm  
       56 天前 via Android
    我去年就在用 acme.sh 申请备用链证书( isrg 根)
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1116 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:31 · PVG 07:31 · LAX 15:31 · JFK 18:31
    ♥ Do have faith in what you're doing.