国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被污染了?
863 2020-04-02 12:25:41 +08:00 14544 次点击这是一个创建于 2022 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天上续签 Let's Encrypt 的证书,发现报
[WARNING] Stapling OCSP: no OCSP stapling for [*.com]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp 88.191.249.182:80: i/o timeout
nslookup 后发现
nslookup ocsp.int-x3.letsencrypt.org Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: ocsp.int-x3.letsencrypt.org canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net. ocsp.int-x3.letsencrypt.org.edgesuite.net canonical name = a771.dscq.akamai.net. Name: a771.dscq.akamai.net Address: 31.13.65.1 Name: a771.dscq.akamai.net Address: 2001::4b7e:8783 用 ipip 的 DNS 解析得到同样结果
第 1 条附言 2020-04-02 22:07:16 +08:00
更正,标题 OSCP 应为 OCSP,一时手快打错了
40 条回复 2020-05-29 04:29:27 +08:00
 | 1 Tianao 2020-04-02 12:33:22 +08:00 确实,本地电信的和几家公共 DNS 证实污染。 |
 | 2 mytsing520 PRO 是这个 a771.dscq.akamai.net 被污染 |
 | 3 DGideas 2020-04-02 14:22:38 +08:00 真遗憾 |
 | 4 bclerdx 2020-04-02 15:45:32 +08:00 确实被污染了。真可恶。 |
 | 5 mnihyc 2020-04-02 16:39:53 +08:00 a771.dscq.akamai.net 解析 IPv4 被污染,IPv6 结果仍正常 |
 | 6 ochatokori 2020-04-02 17:16:34 +08:00 via Android 确实,不给活路呀 |
 | 7 heqiaokyou 2020-04-02 18:29:42 +08:00 用国内 DNS 就的确是污染了。换成国外的 DNS 就正确解析,说明只是污染了并没有做劫持。这就有点奇怪了。 |
 | 8 Xusually 2020-04-02 18:32:49 +08:00 不知道是整体污染了 akamai 的 CDN 还是专门要污染 let's encrypt ? |
 | 10 testcaoy7 2020-04-02 19:07:23 +08:00  1 可恶 |
 | 11 stille 2020-04-02 19:35:22 +08:00 昨天晚上用 acme.sh 的 docker 版本申请 dnspod 的,cloudflare 的各种失败... 脚本版本的申请 cloudflare 的也全都无法认证 txt 记录...国外 vps 国内 vps 都试过...搞了几个小时 |
 | 13 ragnaroks 2020-04-02 19:52:24 +08:00 我也是刚才申请证书各种失败, 不知道出于何种理由,不过足够恶心了 |
 | 15 cwek 2020-04-02 20:20:00 +08:00 用海外机器认证完再拉回来? |
 | 16 villivateur 2020-04-02 20:34:50 +08:00 via Android 2 华东地区,阿里云腾讯云华为云均复现。 墙真的有病,无关民间疾苦。 话说会不会跟前段时间 GitHub HTTPS 中间人攻击相关。 |
 | 17 V69EX 2020-04-02 20:42:21 +08:00 4 国内貌似也有公司开始搞免费证书了,估计这是要把用户赶到国内流氓公司的口袋里呀……:-D |
 | 18 love 2020-04-02 21:02:08 +08:00 话说管理墙的公司在哪个位置,这特么随便就封的吗 |
 | 19 terence4444 2020-04-02 21:44:27 +08:00 离封闭又近一步 |
 | 20 863 OP @mnihyc 我这里是教育网,IPv4 和 IPv6 均污染 ``` Non-authoritative answer: ocsp.int-x3.letsencrypt.org canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net. ocsp.int-x3.letsencrypt.org.edgesuite.net canonical name = a771.dscq.akamai.net. Name: a771.dscq.akamai.net Address: 199.16.156.7 Name: a771.dscq.akamai.net Address: 2001::1f0d:4801 ``` |
 | 21 mnihyc 2020-04-02 22:25:34 +08:00 |
 | 22 LGA1150 2020-04-02 22:25:49 +08:00 目前可以改 hosts 上,不会 TCP RST |
 | 24 agagega 2020-04-03 01:53:51 +08:00 1 每次看到这种贴子,不得不感叹程序员的世界和所谓大众的割裂,唉。 你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗? |
 | 25 zk8802 2020-04-03 08:28:23 +08:00 > 你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗? 等他们被专政的铁拳击中之后,自然会理解的。 |
28 cloudyi666 2020-04-03 08:55:06 +08:00 via iPhone @webshe11 之前这个里面有个保洁阿姨被确诊了,怀疑是个阴谋 |
 | 29 cloudyi666 2020-04-03 08:56:48 +08:00 via iPhone @taobibi 首席还是那必须还得方校长 |
| 30 V69EX 2020-04-03 10:15:48 +08:00 2 @taobibi 这它妹的,以后岂不是只要国内公司想搞啥,就随便封杀国外的同类服务?现在大吹的 UOS 之类的搞起来后,会不会把所有国外的 BSD/Linux 发行版本统统封杀?甚至不再允许国内的开源镜像再同步国外的资源…… |
 | 31 txydhr 2020-04-03 10:24:29 +08:00 via iPhone 从 cloudflare 被劫持可以看出来内部有人靠墙搞黑产。 |
 | 32 binsys 2020-04-04 17:08:34 +08:00 吉林长春电信线路确认被搞,暂时可以改 hosts 解决,不知道后续如何 |
| 33 863 OP 在广东移动家用宽带测试了一下,现在指向了 CMI HK 的两个 IPv4 地址,非 Akamai,不知道能不能用 C:\Users\ThinkPad>nslookup ocsp.int-x3.letsencrypt.org 服务器: UnKnown Address: 2400:3200::1 非权威应答: 名称: a771.dscq.akamai.net Addresses: 2600:140e:6::1702:1042 2600:140e:6::1702:1038 2600:140e:6::1702:1043 223.119.50.201 223.119.50.203 Aliases: ocsp.int-x3.letsencrypt.org ocsp.int-x3.letsencrypt.org.edgesuite.net |
 | 34 jin7 2020-04-05 14:03:13 +08:00 活久见 |
 | 35 Primovist 2020-04-06 20:02:06 +08:00 via iPhone 还没好吗? |
 | 36 Beebird 2020-04-13 19:24:13 +08:00 不光是证书注册续期,现在访问 https 的性能也下降了,除非使用 OCSP Stapling |
 | 37 keyscrapper 2020-04-14 16:15:04 +08:00 @V69EX 啊?您才意识到 |
 | 38 872517414 2020-04-19 22:20:28 +08:00 今天访问自己的网站发现 Firefox 提示 MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING 。 看 SSL Labs 的提示是:This server certificate supports OCSP must staple but OCSP response is not stapled. 就感觉很奇怪,排查了服务器发现没问题后,测试了一下域名,我真的是……无话可说。 |
 | 39 brMu 2020-04-24 16:43:18 +08:00 公司证书没有自动更新,原来是这个原因,好可恶!!! |
 | 40 gongjianwei 2020-05-29 04:29:27 +08:00 今天碰到了这个问题,阿里的 DNS 解析到 208.43.237.140 ,深圳移动的 DNS 解析到 31.13.85.8 。两个都用不了,解决的方案是改 host,然后把 reslover 注释掉。 出处: https://holmesian.org/letsencrypt-ocsp-fix |
Select Language