← 返回信息流
AI 资讯Hacker News·7 小时前

Let's Encrypt 服务今日大部分时间中断

原标题:Let's Encrypt has been down most of today

速览

全球知名的免费 SSL/TLS 证书提供商 Let's Encrypt 在今天的大部分时间里处于不可用状态。此次中断影响了依赖其证书进行 HTTPS 加密的网站和服务。目前该服务已恢复正常运行。

AI 深度解读

背景

Let's Encrypt 是全球最大的非营利证书颁发机构(CA),由互联网安全研究组(ISRG)运营。它通过 ACME 协议为互联网提供免费的 SSL/TLS 证书,极大地推动了 HTTPS 的普及。其核心基础设施包括用于证书申请和验证的 ACME API(如 acme-v02.api.letsencrypt.org)、用于管理账户和证书的门户网站(portal.letsencrypt.org)以及用于证书透明度的日志服务器。

此次事件发生在 2026 年 6 月 18 日至 19 日期间,涉及 Let's Encrypt 的生产环境组件。对于依赖 Let's Encrypt 自动续期证书的数百万网站和开发者而言,这类中断意味着证书更新流程受阻,可能导致服务出现安全警告或连接失败。

核心内容

根据 Hacker News 上披露的 Let's Encrypt 官方状态页面记录,Let's Encrypt 在 2026 年 6 月 18 日至 19 日期间经历了长时间的服务中断。以下是事件的时间线与状态详情:

时间线回顾:

  • 2026 年 6 月 18 日 16:04 UTC:Let's Encrypt 开始对生产环境组件进行调查(INVESTIGATING)。此时,主要的 ACME API 端点 acme-v02.api.letsencrypt.org 受到影响。
  • 2026 年 6 月 18 日 16:35 UTC:调查仍在进行中,服务尚未恢复。
  • 2026 年 6 月 19 日 04:45 UTC:调查状态持续,表明问题复杂或修复耗时较长。

受影响与正常运行的组件:

尽管标题指出“Let's Encrypt 今天大部分时间都宕机了”,但状态页面显示,在调查期间及之后,部分组件已恢复运营(Operational),而核心生产组件在调查期间处于不可用或受限状态。

  • 受影响/调查中的组件

    • acme-v02.api.letsencrypt.org (Production):这是客户端获取和更新证书的主要 API 端点。其故障意味着大多数自动化工具无法完成证书续期。
    • portal.letsencrypt.org (Production):用户管理门户,影响用户通过 Web 界面管理证书的能力。

  • 正常运行(Operational)的组件

    • acme-staging-v02.api.letsencrypt.org (Staging):测试环境 API 正常。
    • portal-staging.letsencrypt.org (Staging):测试环境门户正常。
    • *.c.lencr.org (Production):生产环境的证书存储或相关服务正常。
    • stg-*.c.lencr.org (Staging):测试环境的证书服务正常。
    • 网站:Let's Encrypt 官方网站状态显示正常。
    • 证书透明度日志服务器
      • log.twig.ct.letsencrypt.org
      • log.sycamore.ct.letsencrypt.org
      • log.willow.ct.letsencrypt.org 这些日志服务器均显示为“Operational”,表明证书透明度的记录功能未受直接影响。

关键观察: 虽然状态页面最终显示许多组件为“Operational”,但标题强调“大部分时间宕机”,暗示在 6 月 18 日下午至 6 月 19 日凌晨的长时间窗口内,核心的 ACME API 和门户网站可能经历了严重的不可用性或性能降级,导致用户无法获取新证书或续期现有证书。测试环境(Staging)的正常运行表明问题可能局限于生产环境的特定基础设施或配置,而非底层代码或全局网络故障。

关键要点

  • 核心服务中断:Let's Encrypt 的生产环境 ACME API (acme-v02.api.letsencrypt.org) 和门户网站 (portal.letsencrypt.org) 在 2026 年 6 月 18 日 16:04 UTC 至 6 月 19 日 04:45 UTC 期间处于“调查中”状态,意味着核心证书签发和续期功能受阻。
  • 测试环境未受影响:Staging 环境的 API 和门户均保持“Operational”,表明故障可能源于生产环境的基础设施、流量负载或特定配置,而非全局性系统崩溃。
  • 证书透明度正常:所有主要的证书透明度日志服务器(Twig, Sycamore, Willow)均正常运行,说明已颁发的证书记录功能未受干扰。
  • 影响范围广:由于 Let's Encrypt 是互联网上最广泛使用的免费 CA,其 ACME API 的长时间不可用将导致依赖自动续期的数百万网站面临证书过期风险,可能引发浏览器安全警告或服务中断。
  • 官方响应:状态页面显示官方在事件发生后迅速启动了调查流程,并在约 12 小时后更新状态,但标题暗示实际影响持续时间可能更长或更严重。

意义与影响

此次 Let's Encrypt 的服务中断凸显了互联网基础设施高度集中化带来的系统性风险。作为全球主要的免费证书提供商,Let's Encrypt 的单点故障可能对全球 Web 安全产生连锁反应。

  1. 对网站运营者的影响:依赖 Certbot 或其他 ACME 客户端自动续期证书的网站,在 API 不可用期间将无法完成续期。如果证书在故障期间过期,用户访问这些网站时会看到“不安全”警告,影响用户体验和信任度。对于未设置良好监控和手动干预流程的组织,可能导致服务中断。
  2. 对安全生态的影响:虽然证书透明度日志正常,但证书签发链的中断可能迫使一些组织转向付费 CA 或手动管理证书,增加了运营复杂性和成本。此外,长时间的中断可能促使部分用户重新评估对 Let's Encrypt 的依赖,考虑多元化证书提供商策略。
  3. 对 Let's Encrypt 的启示:此次事件强调了高可用性架构的重要性。尽管测试环境正常,但生产环境的核心 API 长时间不可用,暴露了其在故障隔离、快速恢复或冗余设计方面可能存在不足。ISRG 需要进一步分析根本原因,优化监控和应急响应机制,以减少未来类似事件的影响范围和持续时间。
  4. 行业警示:对于依赖单一 CA 的互联网服务,此事件是一个警示,建议关键业务系统实施多 CA 策略或具备手动证书管理的能力,以增强韧性。同时,也提醒用户和开发者密切关注 CA 的状态页面,以便在故障发生时及时采取应对措施。

相关推荐

查看原文 →letsencrypt.status.io