这是一个创建于 1472 天前的主题,其中的信息可能已经有所发展或是发生改变。
早上收到 N 多用户反馈,在手机 app 访问服务器报错: Unacceptable certificate:CN=R3,O=Let's Encrypt,C=US
于是赶紧到服务器上看了下,证书没过期。 用 PC 浏览器访问,表现正常。 用华为手机浏览器访问,提示不安全,证书失效。
用第三方工具检查: Additional Certificates (if supplied) Certificates provided 2 (2707 bytes) Chain issues Not trusted as supplied #2 Subject R3 Fingerprint SHA256: 730c1bdcd85f57ce5dc0bba733e5f1ba5a925b2a771d640a26f7a454224dad3b Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0= Valid until Wed, 29 Sep 2021 19:21:40 UTC (expired 6 hours and 14 minutes ago) EXPIRED Key RSA 2048 bits (e 65537) Issuer DST Root CA X3 Signature algorithm SHA256withRSA 他的父证书在已经过期几个小时了!! 以为找到了原因。
再回到服务器上检查证书的父证书,完全不一样了: CN = ISRG Root X1 2025 年 9 月 16 日到期!! 还是一切正常!!
现在是 电脑端正常,手机不正常, 第三方工具不正常,服务器正常。 是缓存问题吗,是服务器缓存,客户端缓存,还是中间商缓存
分析不出来,很绝望啊,唯一能做的就剩下了。。。。虾~鸡~霸点!
奇迹真的来了,9 点整他自己给好了。
V 友,帮分析分析,这是哪里的问题啊。
第 1 条附言 2021-09-30 13:43:19 +08:00
感谢 V 友的回复,很受启发。
经过这几个小时的验证。大概率是 IIS 和证书自动更新程序的锅
再回顾下问题:PC 端可以,手机端不行,后面又发现 java 调用 api 也报证书问题
在 iis 中手动重新绑定下证书,问题就都解决了。
经过这几个小时的验证。大概率是 IIS 和证书自动更新程序的锅
再回顾下问题:PC 端可以,手机端不行,后面又发现 java 调用 api 也报证书问题
在 iis 中手动重新绑定下证书,问题就都解决了。
 | 1 fengjianxinghun 2021-09-30 10:25:18 +08:00  1 再国内只要是 Let's Encrypt 的证书就有一点概率随机丢包好像。 |
 | 2 cst4you 2021-09-30 10:26:57 +08:00 线上重要场景为什么要用 Let's Encrypt? |
 | 3 2kCS5c0b0ITXE5k2 2021-09-30 10:29:00 +08:00 国内服务.基本上都要备案把. 如果备案了 用国内服务商的证书好点吧. Let's Encrypt 毕竟是免费的 而且是国外的 不一定稳定. |
 | 4 keyfunc 2021-09-30 10:29:37 +08:00 LE 的根今天到期,手机自己好了只是可能手机缓存了有效的交叉根,我觉得你问题应该依然存在。 |
 | 5 dunn 2021-09-30 10:31:27 +08:00 国庆了,来这么一出 |
 | 6 zydxn 2021-09-30 10:32:02 +08:00 |
 | 7 hoichallenger 2021-09-30 10:32:27 +08:00 1 |
 | 8 shanghai1943 2021-09-30 10:32:37 +08:00 我这十点零几分的时候还是有效的,十点半刷了你这帖子后回去刷新一下提示无效了。。 |
 | 9 a href="/member/whywaoxaks" class="dark">whywaoxaks 2021-09-30 10:36:31 +08:00 我记得前几个月,lets encrypt 停止对老版本协议的支持,也造成过一次大面积失效 |
 | 10 Ichiban 2021-09-30 10:37:05 +08:00 1 LE 的根证书 DST ROOT X3 到期了,但新签发的里面带着一个 ISRG ROOT X1 应该影响不大 https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/ |
 | 11 explon 2021-09-30 10:38:29 +08:00 免费的就是最贵,呵呵呵,花钱买个 DIGI 的证书就没那么多事情 |
 | 12 AoEiuV020 2021-09-30 10:41:43 +08:00 吓尿,赶紧看了下,确实根证书快到期了,这机制不太合理啊,根证书居然能签发过期时间比自己还晚的证书,我一直以为根证书只能签自己有效期内的证书的, |
 | 13 exiledkingcc 2021-09-30 10:41:56 +08:00 7 楼链接里面说的很清楚了。 |
 | 14 jackmod 2021-09-30 10:50:15 +08:00 Let's Encrypt 的根挂了,用户需要安装系统更新才能继续用。 所以能套 CDN 就套上 CDN,可以避免因为根挂掉导致的问题。 |
| 15 AoEiuV020 2021-09-30 10:54:49 +08:00 1 我看了下那个过期时间应该是晚上 22 点,楼主怎么早上就出事了? |
| 16 shanghai1943 2021-09-30 11:19:42 +08:00 我单域名证书还有通配证书都重新安装了一次,现在已恢复正常 |
 | 17 wangkun025 2021-09-30 11:22:19 +08:00 我是前几天手工更新过了。所以没遇到这个问题。 以往都是自动更新的。也不知道为什么这次只能手工更新。 |
 | 18 mengyx 2021-09-30 11:46:09 +08:00 2 |
 | 19 chotow 2021-09-30 12:37:55 +08:00 via iPhone 15 楼上一些嫌弃 Let's Encrypt 的,我就看不懂了。 除了之前 OCSP 服务器因不可描述的原因无法访问,其他时候我没觉得哪里有问题。OCSP 的问题后来也解决了。 根证书到期的问题,至少半年前就通知了吧。后面还特地又多搞了个交叉证书,给一堆老设备再续几年。 人家又不收费,带头搞免费证书,一群白嫖人家的还嫌弃哪哪哪不好,真看不懂。 |
 | 20 9yu 2021-09-30 12:43:42 +08:00 via iPhone 不看通知的影响业务的活该 |
 | 21 laucenmi 2021-09-30 13:18:38 +08:00 @wangkun025 acme.sh 自动更新到 ISRG ROOT X1 了 |
| 22 wangkun025 2021-09-30 13:26:50 +08:00 @laucenmi 我好像用的是 centbot 。具体是什么,我也不知道。sorry,不是很专业,就拿来用用。 |
 | 23 phy25 2021-09-30 13:50:39 +08:00 via Android |
 | 24 wdlth 2021-09-30 21:45:24 +08:00 已经换了 buypass 的 |
 | 25 elboble 2021-10-01 10:42:17 +08:00 个人网站国内手续齐全挂阿里云上,一直用的 lets 的免费证书,昨天收到阿里的邮件通知我 lets 还有 30 天到期要去续费,我想了下,这个好像和阿里无关啊,但是还是在阿里控制台上点了下续费的按钮,最少 1000 起,当然放弃了。。。 |
 | 26 est 2021-10-01 10:53:43 +08:00 老版本 OS 需要手动更新。手动导入新的根 https://blog.est.im/2021/stdout-013 |
 | 27 BitCert 2021-10-01 10:54:11 +08:00 根证书到期 |
 | 28 makelove 2021-10-06 10:33:19 +08:00 卧槽了,前几天看了以为和我无关,想不到我也中招了,这个带新根的证书在老设备上不能用。 不过 acme.sh 新的默认提供者 zerossl 的似乎可以在老设备上用。 |
 | 29 milkleeeeee 2021-10-08 01:44:54 +08:00 卧也槽了,我正准备在这发帖问为嘛老有用户反馈我证书过期了,估计就是这个问题 |
 | 30 roostinghawk 2021-10-08 15:02:28 +08:00 也遇到了,而且是后台的 https 请求失败,楼上都怎么解决的? |
 | 31 aes114514gcm 2021-10-10 16:34:54 +08:00 via Android 我去年就在用 acme.sh 申请备用链证书( isrg 根) |
Select Language