情况
某一天使用 Firefox 访问博客网站时提示证书有问题,检查 OCSP 状态发现证书已经被吊销。
分析
首先检查了一下同时期的同样使用 Buypass CA 签发的域名证书,发现也被吊销了。然后检查了当时用于 ACME 签发证书时的邮箱,并没有收到关于吊销证书的邮件。怀疑 OCSP 服务器配置出错,发邮件咨询 Buypass 客服,得到如下回答:
Hi!
Buypass had an incident which required all certificates issued before december 22 to be revoked. All ACME accounts were informed via the registered e-mail.
Please see the link below for more information.
https://community.buypass.com/t/h7y3k4h/important-information-that-requires-immediate-action
链接提到,由于配置问题,会吊销所有在 December 22 12:00, 2023 之前签发的 Buypass ACME (Go SSL) 证书!所有人需要续签。
邮件中还提到提到了给 registered e-mail 发送了通知,但是我并没有收到。
解决
尽管由于配置出错需要吊销所有证书这种事故显得 Buypass 很不靠谱,但是它是我能找到的唯一一家提供180天免费域名证书的 CA。我打算继续用下去,便使用 acme.sh 续签证书,没想到又碰到了问题:
Challenge error: {"code":500,"message":"INTERNAL_SERVER_ERROR","details":"HTTP 500 Internal Server Error"}
邮件询问Buypass客服,2月13日收到了回复:
Hello,
The issue is that our DNS resolver is getting the response from an IP address registered in China.
We are blocking all traffic from China, so the validation process will fail.Best Regards
Buypass 屏蔽了所有来自中国IP的请求!(顺便说一句,我的服务器在香港,看来 Buypass 并不是仅仅屏蔽中国大陆,而是所有中国的AS?)
我并不知道Buypass大规模吊销证书和屏蔽中国IP这两件事是否相关,也不知道是出于什么原因,让 Buypass 做出这种决定。但是这种不在官网发通知,不给用户发通知就屏蔽一个国家的行为,显得这家 CA 真的很不靠谱。
我也彻底放弃 Buypass 了,现在博客使用的是由 Google Trust Services 提供的证书,使用教程参见 acme.sh 的 wiki:https://github.com/acmesh-official/acme.sh/wiki/Google-Trust-Services-CA