V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Buffer2Disk
V2EX  ›  宽带症候群

Let's Encrypt 的 OSCP 域名被污染,对打开 LE 证书的网站有实际影响吗?

  •  
  •   Buffer2Disk · 2020-04-12 20:50:13 +08:00 · 8349 次点击
    这是一个创建于 1446 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前国内 Let's Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被 DNS 污染,

    已知的问题是会对域名证书的续期造成影响,目前服务器上改 host 可以解决,不知道有没有啥更好的解决方案?


    听说不同的浏览器对 OSCP 验证的处理不同,如果有些浏览器要先验证 OSCP 的话,那 OSCP 域名被 DNS 被污染后,打开网站的体验就会非常不好了

    查了一些资料感觉年代有点久远了,资料上写的是:
    chrome 好像是忽视了 OSCP 的验证,IE 和 Safari 都需要 OSCP 验证

    但是我实测了下,用 IE 打开 Let's Encrypt 签发证书的网站,好像挺顺畅的,没啥影响
    (服务器 nginx 那边确定是没开 ssl_stapling,难道客户端有缓存的原因?)
    31 条回复    2020-04-20 13:55:19 +08:00
    dot2017
        1
    dot2017  
       2020-04-12 21:38:41 +08:00
    人家这个域名解析的 IP 只是禁 ping 而已,哪里被污染了,ipip 里查都正常
    yulihao
        2
    yulihao  
       2020-04-12 21:42:15 +08:00
    dot2017
        3
    dot2017  
       2020-04-12 21:45:00 +08:00
    @yulihao 呃,看到了,cname 被污染了。这下好,顺带把一个 akamai 节点给废了
    yulihao
        4
    yulihao  
       2020-04-12 21:45:50 +08:00
    我测试到实际无影响,都能开
    dot2017
        5
    dot2017  
       2020-04-12 21:45:51 +08:00
    不过反过来说如果是 cname 污染,那可能是别的一个域名被封了,然后那个也用了相同的 cname……
    yulihao
        6
    yulihao  
       2020-04-12 21:49:20 +08:00
    @dot2017 不清楚是不是针对性的
    a770.dscq.akamai.net
    a772.dscq.akamai.net
    都没有 ban
    dot2017
        7
    dot2017  
       2020-04-12 22:32:13 +08:00
    @yulihao 算前后节点没意思的,a771 可能分配给了一堆域名。然后其中一个被 gfw 封了。这种事 fastly 和 edgecast 都有
    mytsing520
        8
    mytsing520  
       2020-04-12 23:43:53 +08:00
    @dot2017 好像没看到过,Akamai 每个用户都有一个编号,这点算的还比较清楚
    lanternxx
        9
    lanternxx  
       2020-04-13 00:19:47 +08:00
    没有实际影响。Chrome 不验证 OSCP,firefox 和 IE 会验证,但验证失败会被视为证书有效。
    Buffer2Disk
        10
    Buffer2Disk  
    OP
       2020-04-13 00:37:44 +08:00 via iPhone
    @lanternxx 那么验证失败的流程具体咋样的呢,我查了下资料,火狐好像是验证超时 2 秒的话,就放弃验证了。那么如果没有缓存机制的话,每次打开网页都需要至少 2 秒以上了…
    Buffer2Disk
        11
    Buffer2Disk  
    OP
       2020-04-13 00:38:58 +08:00 via iPhone
    相当于凭空多增加了了 2 秒 oscp 的验证时间
    1234rty
        12
    1234rty  
       2020-04-13 01:39:43 +08:00 via Android
    会影响某些 BT 软件连接 trackers 服务器,报 OSCP 验证失败
    webshe11
        13
    webshe11  
       2020-04-13 01:54:52 +08:00
    我说怎么刚才运行个 `certbot certificates` 都能卡半天,凭直觉感觉 DNS 有毛病,加了 hosts
    geekzu
        14
    geekzu  
       2020-04-13 03:08:00 +08:00 via Android   ❤️ 1
    @Buffer2Disk 前几天测了,Firefox 74,对 LE 证书不发 OCSP 请求(没有 OCSP 装订的情况下),猜测是硬编码了策略,对于其他证书,软失败时长似乎是 4s,首包会卡

    IE11 测试首包软失败会卡几十秒,影响比较严重

    Safari 手头没有设备,没有办法做详细测试
    eason1874
        15
    eason1874  
       2020-04-13 03:43:40 +08:00   ❤️ 1
    @geekzu #14 原来 IE11 首屏卡是这个问题,我还以为是 IE11 本身的问题。

    刚看你这么说,我去试了下,反复测试确认我这卡约 16 秒,然后打开 Nginx 的 ssl_stapling on; ssl_stapling_verify on; 再试,几乎秒开了,看来打开这个功能还是有必要的。
    INTEL2333
        16
    INTEL2333  
       2020-04-13 08:13:33 +08:00
    被污染,看了下去印度 fb 了
    nieqibest
        17
    nieqibest  
       2020-04-13 08:24:14 +08:00 via Android
    开了 stapling, 我的 nginx error 日志一直报连不上
    sinv
        18
    sinv  
       2020-04-13 09:05:31 +08:00 via Android
    O C S P !!!
    id7368
        19
    id7368  
       2020-04-13 09:07:13 +08:00 via iPhone
    Let’s Encrypty 免费证书用户请注意:你的证书可能已经无法签发 /更新: https://www.landiannews.com/archives/72082.html 4 月 4 就这样了,关键这有啥好污染的,还得用 x 产证书么。😓
    yylzcom
        20
    yylzcom  
       2020-04-13 09:10:48 +08:00
    我在写 nginx 配置的时候开启了 ssl_stapling on;
    resolver 里填写的是 114.114.114.114

    然后就悲剧了,Nginx 启动一直提示 timeout,换了 8.8.8.8 之后好了
    Buffer2Disk
        21
    Buffer2Disk  
    OP
       2020-04-13 11:54:03 +08:00
    @yylzcom
    @eason1874

    有个问题就是,
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8

    这么配置,大陆能正常用 8.8.8.8 吗? 会不会有抽风的风险
    bclerdx
        22
    bclerdx  
       2020-04-13 13:13:53 +08:00
    @dot2017 a771 、a770 、a772 是什么意思?
    bclerdx
        23
    bclerdx  
       2020-04-13 13:18:54 +08:00
    @id7368 墙现在是胆大包天,无所不用。
    eason1874
        24
    eason1874  
       2020-04-13 17:50:45 +08:00
    @Buffer2Disk #21 好像偶尔抽风,我看日志里 www.google-analytics.com 一天有一次两次 time out,基本不影响。

    如果实在担心,搞个定时脚本自己获取正确的 OCSP response 保存到文件给 ssl_stapling_file 调用,这样一次两次的解析失败应该就不能影响到任何用户了。
    Buffer2Disk
        25
    Buffer2Disk  
    OP
       2020-04-13 22:31:11 +08:00
    @eason1874

    问题还是来了,如何稳定的获得正确的 OCSP response 。。。。。
    happylty
        26
    happylty  
       2020-04-13 22:32:51 +08:00
    联通 DNS 正常。
    IP
    2600:1417:76::6874:f3cb
    Location
    中国 台湾 台北市
    ISP
    akamai.com
    happylty
        27
    happylty  
       2020-04-13 22:40:07 +08:00
    IPv4 是 192.64.119.254
    美国 亚利桑那州 凤凰城
    ping 测试 249 ms
    CoderLife
        28
    CoderLife  
       2020-04-14 23:32:57 +08:00
    小程序影响很大: /t/662189
    bagel
        29
    bagel  
       2020-04-18 23:01:53 +08:00
    为什么 OSCP 域名被污染“会对域名证书的续期造成影响”? OSCP 是客户端验证,和证书更新是两套机制吧?难道证书更新续期也用的这个域名?我就在用 Let's Encrypt 的证书,在考虑是不是要换。
    Buffer2Disk
        30
    Buffer2Disk  
    OP
       2020-04-19 12:50:10 +08:00
    @bagel 你自己试试更新证书看看,我在更新证书的时候就碰到调用这个域名的问题了
    Croath
        31
    Croath  
       2020-04-20 13:55:19 +08:00
    同样问题遇到了,换了证书之后秒开了。

    断断续续半个月时间社区里 iOS 用户不断反应这个问题。谢谢大家提供的思路和实验。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1310 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:47 · PVG 01:47 · LAX 10:47 · JFK 13:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.