Nginx 错误 OCSP 无法解析

Nginx 错误 OCSP 无法解析

我的 Nginx 错误日志中出现此错误:

[error] 742#742: ocsp.comodoca.com could not be resolved (110: Operation timed out) while requesting certificate status, responder: ocsp.comodoca.com, certificate: "/etc/nginx/ssl/cert.crt"

我在 Ubuntu 18.04 上使用 Nginx 1.14.0。当我使用 OCSP 装订时发生此错误。此错误在 3 天内发生约 2 次。但是,网站APKGeny.com当我打开它并测试它时运行良好ssllabsOCSP 装订状态为活动状态。

这是我的 OCSP 配置:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/ocsp.ca-bundle;

我从我的 SSL 提供商(Namecheap)获得了 trust_certificate 文件。

那么如何解决这个问题?或者也许因为我的网站运行良好,所以就忽略它们?谢谢。

答案1

您使用 IPv6 吗?或者您的 nginx 同时编译了 ipv4 和 ipv6?

如果是,则最有可能的原因是设置中的某个地方 AAAA 地址解析中断。您的 nginx 使用 IPv6 编译,并将尝试解析 A 和 AAAA 地址,并且消息表明其中一个 DNS 请求(针对 A 或 AAAA 记录)超时。来源:https://trac.nginx.org/nginx/ticket/553

我在 ssllabs 上测试你的 OCSP 装订是否有效。

相关内容