未分類
26 5 月 2020

求助!关于 OCSP 装订的问题。

求助!关于 OCSP 装订的问题。

資深大佬 : GeekSky 0

NGINX 报错:

"ssl_stapling" ignored, host not found in OCSP responder "ocsp.int-x3.letsencrypt.org" in the certificate "/usr/local/nginx/ssl/www.pem"

ssllabs 检测提示:

This server certificate supports OCSP must staple but OCSP response is not stapled

NGINX 配置如下:

        ssl_certificate      /usr/local/nginx/ssl/www.pem;         ssl_certificate_key  /usr/local/nginx/ssl/www.key;         ssl_session_cache    shared:SSL:5m;         ssl_session_timeout  5m;         ssl_early_data       on;         ssl_protocols        TLSv1.2 TLSv1.3;         ssl_prefer_server_ciphers  on;         ssl_stapling         on;         resolver      223.5.5.5;         ssl_stapling_verify  on;

请问是哪里的问题?

大佬有話說 (16)

  • 資深大佬 : cwek

    这个好像提过很多次,letsencrypt 的 OCSP 地址被污染了。

  • 資深大佬 : GeekSky

    @cwek 这些龟孙,真是闲的蛋疼,这个碍它们什么事了……
    老哥有解决办法没?

  • 資深大佬 : dingyx99

    可以把 resolver 换成一个可以正常解析并访问 OCSP 域名的 DNS,或者是自己加上 ssl_trusted_certificate 手动 OCSP

  • 資深大佬 : GeekSky

    @dingyx99 ssl_trusted_certificate 是使用 ca_bundle 这个证书吗?

  • 資深大佬 : lookas2001

    ocsp.int-x3.letsencrypt.org 被污染了
    解决方式:加 hosts
    23.205.154.146 ocsp.int-x3.letsencrypt.org
    不知道那群人在想啥,没事净给人添堵

  • 資深大佬 : constructor

    @dingyx99 看看前几天我怎么从坑里出来的: https://v2ex.com/t/672952,看附言部分的总结。

  • 資深大佬 : allenforrest

    ssl_stapling on;
    resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
    resolver_timeout 5s;

    亲测可用

  • 資深大佬 : Vhc001

    域名被 DNS 污染了,狗日的 XX 党

  • 資深大佬 : lanternxx

    @lookas2001 #5 ocsp.int-x3.letsencrypt.org 这个域名用的 akamai 的 CDN,CNAME 解析到了 a771.dscq.akamai.net ,是这个 akamai 的 CDN 域名被污染了。估计是有不和谐的网站也在用这个 CDN 域名。

  • 資深大佬 : lookas2001

    @lanternxx sni 定点清除,请。
    求求有关部门找点靠谱的人维护这个系统吧,实在不行拆了也成。

  • 資深大佬 : moult

    @lookas2001 host 设定好像没用的。Nginx 的 OCSP 请求好像不信任 host 的。

  • 資深大佬 : seers

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s;
    resolver_timeout 2s;

  • 資深大佬 : holinhot

    @lookas2001 和维护的人没关系,维护的人只是按上面下发的名单操作。

  • 資深大佬 : lanternxx

    @lookas2001 #9 和 SNI 没关系吧,目前只是 DNS 污染,没有 TCP 阻断。而且 OCSP 是 http 的,没有 SNI 。

  • 資深大佬 : sundev

    亲测加 Host 有效。
    另疑惑 resolver 用 8.8.8.8 8.8.4.4 有用?这两个 Google 的 DNS 不是无法访问的么?

  • 資深大佬 : zingl

    8.8.8.8 在服务器上可以访问