去年由于Global Sign中间证书升级,我们的网站在更新配置新证书的时候,公司运维小哥找不到网站的LB了,为了省事儿直接新建了一个LB并配置了新的证书。
接着问题就出现了,部分电脑或客户端访问不了我们网站了,基本都是报告ssl证书有问题。起初运维及开发同学以为是客户端有问题,排查了一圈,使用了往jdk导入根证书等骚操作。
今天又有个产品同事抱怨她电脑浏览器因为证书问题不让访问网站,但是我的电脑可以。ping了一下网址,发现ip不一样。于是想起服务端有2个新旧LB并存的事实,旧LB使用的是已经失效的证书(运维铜同学说找不到旧ELB了,所以一直没删除),新LB使用的新的证书。显然,这位同事的访问被路由到了旧的LB上了。
最后终于破案了,原来她电脑使用时DNS服务是 8.8.8.8 谷歌的服务, 猜测应该是谷歌dns服务一直没有更新我们网站的配置,导致总是路由到了我们网站已经废弃但还在运行的LB上。