这是一个创建于 1628 天前的主题,其中的信息可能已经有所发展或是发生改变。
NGINX 报错:
"ssl_stapling" ignored, host not found in OCSP responder "ocsp.int-x3.letsencrypt.org" in the certificate "/usr/local/nginx/ssl/www.pem"
ssllabs 检测提示:
This server certificate supports OCSP must staple but OCSP response is not stapled
NGINX 配置如下:
ssl_certificate /usr/local/nginx/ssl/www.pem;
ssl_certificate_key /usr/local/nginx/ssl/www.key;
ssl_session_cache shared:SSL:5m;
ssl_session_timeout 5m;
ssl_early_data on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 223.5.5.5;
ssl_stapling_verify on;
请问是哪里的问题?
第 1 条附言 · 2020-05-24 18:10:24 +08:00
最终结果
导致原因:坏蛋捣乱。
解决方法:
1.改 hosts 文件,添加:23.205.154.146 ocsp.int-x3.letsencrypt.org
这个我尝试了,没用。
2.resolver 使用 8.8.8.8 和 8.8.4.4
我使用这个解决了,不过我好奇啊,这俩 DNS 国内不是不能用的吗……
导致原因:坏蛋捣乱。
解决方法:
1.改 hosts 文件,添加:23.205.154.146 ocsp.int-x3.letsencrypt.org
这个我尝试了,没用。
2.resolver 使用 8.8.8.8 和 8.8.4.4
我使用这个解决了,不过我好奇啊,这俩 DNS 国内不是不能用的吗……
 |
1
cwek 2020-05-24 08:49:44 +08:00
这个好像提过很多次,letsencrypt 的 OCSP 地址被污染了。
|
 |
3
dingyx99 2020-05-24 09:11:51 +08:00
可以把 resolver 换成一个可以正常解析并访问 OCSP 域名的 DNS,或者是自己加上 ssl_trusted_certificate 手动 OCSP
|
 |
5
lookas2001 2020-05-24 09:32:13 +08:00 via Android  3
ocsp.int-x3.letsencrypt.org 被污染了
解决方式:加 hosts 23.205.154.146 ocsp.int-x3.letsencrypt.org 不知道那群人在想啥,没事净给人添堵 |
 |
6
constructor 2020-05-24 09:42:54 +08:00
@dingyx99 看看前几天我怎么从坑里出来的: https://v2ex.com/t/672952,看附言部分的总结。
|
 |
7
allenforrest 2020-05-24 10:47:19 +08:00
ssl_stapling on;
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s; resolver_timeout 5s; 亲测可用 |
 |
8
Vhc001 2020-05-24 11:01:29 +08:00
域名被 DNS 污染了,狗日的 XX 党
|
 |
9
lanternxx 2020-05-24 11:08:09 +08:00
@lookas2001 #5 ocsp.int-x3.letsencrypt.org 这个域名用的 akamai 的 CDN,CNAME 解析到了 a771.dscq.akamai.net ,是这个 akamai 的 CDN 域名被污染了。估计是有不和谐的网站也在用这个 CDN 域名。
|
|
10
lookas2001 2020-05-24 11:40:24 +08:00 via Android
@lanternxx sni 定点清除,请。
求求有关部门找点靠谱的人维护这个系统吧,实在不行拆了也成。 |
 |
11
moult 2020-05-24 12:51:40 +08:00 via iPhone
@lookas2001 host 设定好像没用的。Nginx 的 OCSP 请求好像不信任 host 的。
|
 |
12
seers 2020-05-24 13:26:31 +08:00
ssl_stapling on;
ssl_stapling_verify on; resolver 1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s; resolver_timeout 2s; |
 |
13
holinhot 2020-05-24 14:20:08 +08:00
@lookas2001 和维护的人没关系,维护的人只是按上面下发的名单操作。
|
|
14
lanternxx 2020-05-24 15:22:03 +08:00
@lookas2001 #9 和 SNI 没关系吧,目前只是 DNS 污染,没有 TCP 阻断。而且 OCSP 是 http 的,没有 SNI 。
|
 |
15
sundev 2020-05-24 16:25:32 +08:00
亲测加 Host 有效。
另疑惑 resolver 用 8.8.8.8 8.8.4.4 有用?这两个 Google 的 DNS 不是无法访问的么? |
 |
16
zingl 2020-05-24 18:20:51 +08:00
8.8.8.8 在服务器上可以访问
|
Select Language