https://jbesu.com/posts/caddy-ocsp-dns-pollution-fix/
好像不行
——-
Caddy OCSP 服务器被 DNS 污染解决方案
起因
某天重启 Caddy,发现很久都没有成功,遂查看 log:
|
|
[WARNING] Stapling OCSP: no OCSP stapling for [***]: making OCSP request: Post http://ocsp.int-x3.letsencrypt.org: dial tcp 208.101.60.87:80: i/o timeout |
调查
我吐了,难道 Let’s Encrypt 的 OCSP 服务器被墙了??
本地测试一下,发现不通。去查了下 DNS,发现解析到的 ip 不对,初步怀疑是 DNS 污染。
在外网服务器解析 ocsp.int-x3.letsencrypt.org:
|
|
nslookup ocsp.int-x3.letsencrypt.org Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: ocsp.int-x3.letsencrypt.org canonical name = ocsp.int-x3.letsencrypt.org.edgesuite.net. ocsp.int-x3.letsencrypt.org.edgesuite.net canonical name = a771.dscq.akamai.net. Name: a771.dscq.akamai.net Address: 23.52.171.104 Name: a771.dscq.akamai.net Address: 23.52.171.75 Name: a771.dscq.akamai.net Address: 2600:1413:1::6011:4818 Name: a771.dscq.akamai.net Address: 2600:1413:1::6011:483a |
怀疑这个投毒可能不是针对 Let’s Encrypt,而是针对 akamai 的。
解决方案
目前可以通过改 hosts 解决,不过应该不是长久之计。
|
|
23.52.171.104 a771.dscq.akamai.net |