V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
5sheep
V2EX  ›  SSL

Let's Encrypt 证书今早大面积失效

  •  
  •   5sheep · 2021-09-30 10:22:08 +08:00 · 8265 次点击
    这是一个创建于 1160 天前的主题,其中的信息可能已经有所发展或是发生改变。

    早上收到 N 多用户反馈,在手机 app 访问服务器报错: Unacceptable certificate:CN=R3,O=Let's Encrypt,C=US

    于是赶紧到服务器上看了下,证书没过期。 用 PC 浏览器访问,表现正常。 用华为手机浏览器访问,提示不安全,证书失效。

    用第三方工具检查: Additional Certificates (if supplied) Certificates provided 2 (2707 bytes) Chain issues Not trusted as supplied #2 Subject R3 Fingerprint SHA256: 730c1bdcd85f57ce5dc0bba733e5f1ba5a925b2a771d640a26f7a454224dad3b Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0= Valid until Wed, 29 Sep 2021 19:21:40 UTC (expired 6 hours and 14 minutes ago) EXPIRED Key RSA 2048 bits (e 65537) Issuer DST Root CA X3 Signature algorithm SHA256withRSA 他的父证书在已经过期几个小时了!! 以为找到了原因。

    再回到服务器上检查证书的父证书,完全不一样了: CN = ISRG Root X1 2025 年 9 月 16 日到期!! 还是一切正常!!

    现在是 电脑端正常,手机不正常, 第三方工具不正常,服务器正常。 是缓存问题吗,是服务器缓存,客户端缓存,还是中间商缓存

    分析不出来,很绝望啊,唯一能做的就剩下了。。。。虾~鸡~霸点!

    奇迹真的来了,9 点整他自己给好了。

    V 友,帮分析分析,这是哪里的问题啊。

    第 1 条附言  ·  2021-09-30 13:43:19 +08:00
    感谢 V 友的回复,很受启发。

    经过这几个小时的验证。大概率是 IIS 和证书自动更新程序的锅

    再回顾下问题:PC 端可以,手机端不行,后面又发现 java 调用 api 也报证书问题

    在 iis 中手动重新绑定下证书,问题就都解决了。
    31 条回复    2021-10-10 16:34:54 +08:00
    fengjianxinghun
        1
    fengjianxinghun  
       2021-09-30 10:25:18 +08:00   ❤️ 1
    再国内只要是 Let's Encrypt 的证书就有一点概率随机丢包好像。
    cst4you
        2
    cst4you  
       2021-09-30 10:26:57 +08:00
    线上重要场景为什么要用 Let's Encrypt?
    2kCS5c0b0ITXE5k2
        3
    2kCS5c0b0ITXE5k2  
       2021-09-30 10:29:00 +08:00
    国内服务.基本上都要备案把. 如果备案了 用国内服务商的证书好点吧. Let's Encrypt 毕竟是免费的 而且是国外的 不一定稳定.
    keyfunc
        4
    keyfunc  
       2021-09-30 10:29:37 +08:00
    LE 的根今天到期,手机自己好了只是可能手机缓存了有效的交叉根,我觉得你问题应该依然存在。
    dunn
        5
    dunn  
       2021-09-30 10:31:27 +08:00
    国庆了,来这么一出
    zydxn
        6
    zydxn  
       2021-09-30 10:32:02 +08:00
    hoichallenger
        7
    hoichallenger  
       2021-09-30 10:32:27 +08:00   ❤️ 1
    shanghai1943
        8
    shanghai1943  
       2021-09-30 10:32:37 +08:00
    我这十点零几分的时候还是有效的,十点半刷了你这帖子后回去刷新一下提示无效了。。
    whywaoxaks
        9
    whywaoxaks  
       2021-09-30 10:36:31 +08:00
    我记得前几个月,lets encrypt 停止对老版本协议的支持,也造成过一次大面积失效
    ZingLix
        10
    ZingLix  
       2021-09-30 10:37:05 +08:00   ❤️ 1
    LE 的根证书 DST ROOT X3 到期了,但新签发的里面带着一个 ISRG ROOT X1 应该影响不大

    https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
    explon
        11
    explon  
       2021-09-30 10:38:29 +08:00
    免费的就是最贵,呵呵呵,花钱买个 DIGI 的证书就没那么多事情
    AoEiuV020
        12
    AoEiuV020  
       2021-09-30 10:41:43 +08:00
    吓尿,赶紧看了下,确实根证书快到期了,这机制不太合理啊,根证书居然能签发过期时间比自己还晚的证书,我一直以为根证书只能签自己有效期内的证书的,
    exiledkingcc
        13
    exiledkingcc  
       2021-09-30 10:41:56 +08:00
    7 楼链接里面说的很清楚了。
    jackmod
        14
    jackmod  
       2021-09-30 10:50:15 +08:00
    Let's Encrypt 的根挂了,用户需要安装系统更新才能继续用。
    所以能套 CDN 就套上 CDN,可以避免因为根挂掉导致的问题。
    AoEiuV020
        15
    AoEiuV020  
       2021-09-30 10:54:49 +08:00   ❤️ 1
    我看了下那个过期时间应该是晚上 22 点,楼主怎么早上就出事了?
    shanghai1943
        16
    shanghai1943  
       2021-09-30 11:19:42 +08:00
    我单域名证书还有通配证书都重新安装了一次,现在已恢复正常
    wangkun025
        17
    wangkun025  
       2021-09-30 11:22:19 +08:00
    我是前几天手工更新过了。所以没遇到这个问题。
    以往都是自动更新的。也不知道为什么这次只能手工更新。
    mengyx
        18
    mengyx  
       2021-09-30 11:46:09 +08:00   ❤️ 2
    chotow
        19
    chotow  
       2021-09-30 12:37:55 +08:00 via iPhone   ❤️ 15
    楼上一些嫌弃 Let's Encrypt 的,我就看不懂了。
    除了之前 OCSP 服务器因不可描述的原因无法访问,其他时候我没觉得哪里有问题。OCSP 的问题后来也解决了。
    根证书到期的问题,至少半年前就通知了吧。后面还特地又多搞了个交叉证书,给一堆老设备再续几年。
    人家又不收费,带头搞免费证书,一群白嫖人家的还嫌弃哪哪哪不好,真看不懂。
    9yu
        20
    9yu  
       2021-09-30 12:43:42 +08:00 via iPhone
    不看通知的影响业务的活该
    laucenmi
        21
    laucenmi  
       2021-09-30 13:18:38 +08:00
    @wangkun025 acme.sh 自动更新到 ISRG ROOT X1 了
    wangkun025
        22
    wangkun025  
       2021-09-30 13:26:50 +08:00
    @laucenmi 我好像用的是 centbot 。具体是什么,我也不知道。sorry,不是很专业,就拿来用用。
    phy25
        23
    phy25  
       2021-09-30 13:50:39 +08:00 via Android
    wdlth
        24
    wdlth  
       2021-09-30 21:45:24 +08:00
    已经换了 buypass 的
    elboble
        25
    elboble  
       2021-10-01 10:42:17 +08:00
    个人网站国内手续齐全挂阿里云上,一直用的 lets 的免费证书,昨天收到阿里的邮件通知我 lets 还有 30 天到期要去续费,我想了下,这个好像和阿里无关啊,但是还是在阿里控制台上点了下续费的按钮,最少 1000 起,当然放弃了。。。
    est
        26
    est  
       2021-10-01 10:53:43 +08:00
    老版本 OS 需要手动更新。手动导入新的根 https://blog.est.im/2021/stdout-013
    BitCert
        27
    BitCert  
       2021-10-01 10:54:11 +08:00
    根证书到期
    makelove
        28
    makelove  
       2021-10-06 10:33:19 +08:00
    卧槽了,前几天看了以为和我无关,想不到我也中招了,这个带新根的证书在老设备上不能用。
    不过 acme.sh 新的默认提供者 zerossl 的似乎可以在老设备上用。
    milkleeeeee
        29
    milkleeeeee  
       2021-10-08 01:44:54 +08:00
    卧也槽了,我正准备在这发帖问为嘛老有用户反馈我证书过期了,估计就是这个问题
    roostinghawk
        30
    roostinghawk  
       2021-10-08 15:02:28 +08:00
    也遇到了,而且是后台的 https 请求失败,楼上都怎么解决的?
    aes114514gcm
        31
    aes114514gcm  
       2021-10-10 16:34:54 +08:00 via Android
    我去年就在用 acme.sh 申请备用链证书( isrg 根)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1094 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 19:09 · PVG 03:09 · LAX 11:09 · JFK 14:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.