Caddy OCSP 服务器被 DNS 污染解决方案


起因

某天重启 Caddy,发现很久都没有成功,遂查看 log:

[WARNING] Stapling OCSP: no OCSP stapling for [***]: making OCSP request:
Post http://ocsp.int-x3.letsencrypt.org: dial tcp 208.101.60.87:80: i/o timeout

调查

我吐了,难道 Let’s Encrypt 的 OCSP 服务器被墙了??

本地测试一下,发现不通。去查了下 DNS,发现解析到的 ip 不对,初步怀疑是 DNS 污染。

在外网服务器解析 ocsp.int-x3.letsencrypt.org

nslookup ocsp.int-x3.letsencrypt.org
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
ocsp.int-x3.letsencrypt.org     canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net.
ocsp.int-x3.letsencrypt.org.edgesuite.net       canonical name = a771.dscq.akamai.net.
Name:   a771.dscq.akamai.net
Address: 23.52.171.104
Name:   a771.dscq.akamai.net
Address: 23.52.171.75
Name:   a771.dscq.akamai.net
Address: 2600:1413:1::6011:4818
Name:   a771.dscq.akamai.net
Address: 2600:1413:1::6011:483a

怀疑这个投毒可能不是针对 Let’s Encrypt,而是针对 akamai 的。

解决方案

目前可以通过改 hosts 解决,不过应该不是长久之计。

23.52.171.104   a771.dscq.akamai.net