Let's Encrypt免费证书用户请注意：你的证书可能已经无法签发/更新

自4月3日下午开始Let's Encrypt证书签发和续期遭遇不可抗力故障。不论用户是新申请证书还是对已有证书进行续期均受影响，当然通过自动化程序进行续签也会因此无法续期成功。正常情况下续期都会提前进行因此暂时部分即将到期的证书还可以使用，但如果接下来无法恢复则访问会受影响。

为此提醒各位使用Let's Encrypt的网站管理员，请尽快检查你的证书有效期若即将到期请立即执行续期。若无法正常续期请立即安排更换其他渠道提供的证书作为过渡，以免在证书到期后影响网站或后端服务正常连接。

为什么出现无法签发和续期问题：

数字证书通常会使用OCSP即在线证书状态协议验证证书是否有效，该协议被广泛应用于各种环境中的证书验证。Let's Encrypt 在签发或续期证书时同样会检测域名证书有效性，通常只有成功进行校验后才可签发或续期证书。

注：续期证书本质上也是签发证书，因为旧证书到期后进行续期实际上就是向颁发机构申请新证书并替代旧证书。Let's Encrypt OCSP调用的域名在国内部分地区出现请求异常现象，并非所有地区都会请求异常。当用户尝试新申请证书或执行自动化程序续期证书时会报错，检查操作日志可以看到OCSP请求出现超时现象等。

上游服务商部分域名无法正常访问：

Let's Encrypt 使用美国云计算服务商Akamai提供的加速服务，测试发现Akamai某个特定的地址无法正常访问。当国内用户尝试访问时请返回的IP可能在全球各地但都不是真正的目标IP , 这直接导致OCSP请求出现超时问题。

经测试对相邻节点进行测试如a770/a772发现可以正确解析到Akamai节点，目前仅发现a771节点出现异常情况。但a771恰恰是Let's Encrypt OCSP服务的节点，a771无法正确解析到目标IP导致OCSP请求异常无法签发证书。目前经测试此问题影响部分区域的部分线路，但也发现IPv4和IPv6均有异常情况 , 部分区域仅IPv4出现异常情况。

如何避免SSL证书过期？

当涉及到证书管理时，各规模大小的企业都存在一些不同的问题。尽管中小型企业可能只拥有一个或少量证书，但企业级别的公司通常都拥有庞大的网络，无数的联网设备，还有许多其他方面的事宜需要考虑。在企业级别，SSL证书过期通常是监督不善的结果。

1、无论您获得SSL证书的CA或SSL服务，都会在90天后从设定的时间间隔向您发送到期通知。请确认过期时间，及时续费。

2、找一个好的证书管理平台。企业业务面临的最大挑战之一是可见性。如果您看不到它们，则无法替换过期证书。请确保您定期登录，以便随时了解续订时间。

任何人都有可能忘记续订或替换即将过期的SSL证书。但是有很多工具可以帮助其中降低存在的风险。正如我们所讨论的，关键是要拥有可见性和良好的沟通渠道，这样就可以避免证书过期。

（内容来源于蓝点网，由freessl整理发布）