未分類
26 3 月 2020

国内 Let’s Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被污染了?

国内 Let’s Encrypt 的 OSCP 域名 ocsp.int-x3.letsencrypt.org 的解析被污染了?

資深大佬 : 863 92

今天早上续签 Let’s Encrypt 的证书,发现报

[WARNING] Stapling OCSP: no OCSP stapling for [*.com]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp 88.191.249.182:80: i/o timeout

nslookup 后发现

nslookup ocsp.int-x3.letsencrypt.org Server:         127.0.0.53 Address:        127.0.0.53#53  Non-authoritative answer: ocsp.int-x3.letsencrypt.org     canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net. ocsp.int-x3.letsencrypt.org.edgesuite.net       canonical name = a771.dscq.akamai.net. Name:   a771.dscq.akamai.net Address: 31.13.65.1 Name:   a771.dscq.akamai.net Address: 2001::4b7e:8783

用 ipip 的 DNS 解析得到同样结果

大佬有話說 (33)

  • 資深大佬 : Tianao

    确实,本地电信的和几家公共 DNS 证实污染。

  • 資深大佬 : mytsing520

    是这个 a771.dscq.akamai.net 被污染

  • 資深大佬 : DGideas

    真遗憾

  • 資深大佬 : bclerdx

    确实被污染了。真可恶。

  • 資深大佬 : mnihyc

    a771.dscq.akamai.net 解析 IPv4 被污染,IPv6 结果仍正常

  • 資深大佬 : ochatokori

    确实,不给活路呀

  • 資深大佬 : heqiaokyou

    用国内 DNS 就的确是污染了。换成国外的 DNS 就正确解析,说明只是污染了并没有做劫持。这就有点奇怪了。

  • 資深大佬 : Xusually

    不知道是整体污染了 akamai 的 CDN 还是专门要污染 let’s encrypt ?

  • 資深大佬 : jousca

    @Xusually akamai 的 CDN 经常被污染

  • 資深大佬 : testcaoy7

    可恶

  • 資深大佬 : stille

    昨天晚上用 acme.sh 的 docker 版本申请 dnspod 的,cloudflare 的各种失败…
    脚本版本的申请 cloudflare 的也全都无法认证 txt 记录…国外 vps 国内 vps 都试过…搞了几个小时

  • 資深大佬 : ragnaroks

    @Xusually 初略用 nslookup 测试了一下,目前只发现 a771 被污染

  • 資深大佬 : ragnaroks

    我也是刚才申请证书各种失败,
    不知道出于何种理由,不过足够恶心了

  • 資深大佬 : Xusually

    @ragnaroks @jousca 那就尴尬了,有意为之的话 acme.sh 用户都被影响了

  • 資深大佬 : cwek

    用海外机器认证完再拉回来?

  • 資深大佬 : villivateur

    华东地区,阿里云腾讯云华为云均复现。
    墙真的有病,无关民间疾苦。
    话说会不会跟前段时间 GitHub HTTPS 中间人攻击相关。

  • 資深大佬 : V69EX

    国内貌似也有公司开始搞免费证书了,估计这是要把用户赶到国内流氓公司的口袋里呀……:-D

  • 資深大佬 : love

    话说管理墙的公司在哪个位置,这特么随便就封的吗

  • 資深大佬 : terence4444

    离封闭又近一步

  • 資深大佬 : 863

    @mnihyc 我这里是教育网,IPv4 和 IPv6 均污染
    “`
    Non-authoritative answer:
    ocsp.int-x3.letsencrypt.org canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
    ocsp.int-x3.letsencrypt.org.edgesuite.net canonical name = a771.dscq.akamai.net.
    Name: a771.dscq.akamai.net
    Address: 199.16.156.7
    Name: a771.dscq.akamai.net
    Address: 2001::1f0d:4801
    “`

  • 資深大佬 : mnihyc

    @863 我这 IPv6 是好的
    c:>nslookup a771.dscq.a kamai.net 223.5 .5.5
    Server: public1.ali dns.com
    Address: 223. 5.5.5

    Non-authoritative answer:
    Name: a771.dscq .akamai.net
    Addresses: 2600:1417:76::6874:f3cb
    2600:1417:76::17d2:d741
    31.13.68.1

  • 資深大佬 : LGA1150

    目前可以改 hosts 上,不会 TCP RST

  • 資深大佬 : webshe11

    @love
    答第一问:话说管理墙的公司在哪个位置
    北京市朝阳区安贞街道裕民路甲 3 号
    答第二问:这特么随便就封的吗
    是的

  • 資深大佬 : agagega

    每次看到这种贴子,不得不感叹程序员的世界和所谓大众的割裂,唉。
    你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?

  • 資深大佬 : zk8802

    > 你们说那些在新闻里为自主网络 xx 叫好的人里面,有能理解在座诸位的不安的吗?

    等他们被专政的铁拳击中之后,自然会理解的。

  • 資深大佬 : taobibi

    @love 国内 360 公司是墙的首席技术支持,估计 360 公司要搞免费证书了。

  • 資深大佬 : taobibi

    @webshe11 目前已知墙的管理方面属于行政部门,技术支持是 360 和企鹅

  • 資深大佬 : cloudyi666

    @webshe11 之前这个里面有个保洁阿姨被确诊了,怀疑是个阴谋

  • 資深大佬 : cloudyi666

    @taobibi 首席还是那必须还得方校长

  • 資深大佬 : V69EX

    @taobibi 这它妹的,以后岂不是只要国内公司想搞啥,就随便封杀国外的同类服务?现在大吹的 UOS 之类的搞起来后,会不会把所有国外的 BSD/Linux 发行版本统统封杀?甚至不再允许国内的开源镜像再同步国外的资源……

  • 資深大佬 : txydhr

    从 cloudflare 被劫持可以看出来内部有人靠墙搞黑产。

  • 資深大佬 : binsys

    吉林长春电信线路确认被搞,暂时可以改 hosts 解决,不知道后续如何

  • 資深大佬 : 863

    在广东移动家用宽带测试了一下,现在指向了 CMI HK 的两个 IPv4 地址,非 Akamai,不知道能不能用
    ···
    C:UsersThinkPad>nslookup ocsp.int-x3.letsencrypt.org
    服务器: UnKnown
    Address: 2400:3200::1

    非权威应答:
    名称: a771.dscq.akamai.net
    Addresses: 2600:140e:6::1702:1042
    2600:140e:6::1702:1038
    2600:140e:6::1702:1043
    223.119.50.201
    223.119.50.203
    Aliases: ocsp.int-x3.letsencrypt.org
    ocsp.int-x3.letsencrypt.org.edgesuite.net
    ···