GetSSL项目解析Sectigo ACME端点URL失败问题分析

问题背景

在使用GetSSL工具与Sectigo证书颁发机构(CA)交互时，用户遇到了无法正确解析ACME协议端点URL的问题。具体表现为当配置CA="https://acme.enterprise.sectigo.com"后，GetSSL无法正确识别Sectigo提供的各种ACME操作端点，导致所有操作均失败。

问题现象

当用户尝试使用GetSSL与Sectigo的ACME服务交互时，工具错误地将所有操作URL都设置为new-nonce端点。例如，newAccount操作被错误地指向了new-nonce端点，这显然会导致操作失败。通过调试输出可以看到，所有URL变量都被错误地赋值为同一个值。

技术分析

JSON解析机制缺陷

GetSSL当前使用AWK来解析Sectigo返回的JSON响应，这种方法存在明显缺陷：

1. 依赖字段顺序：AWK通过位置($4)提取字段值，而JSON对象的字段顺序是不固定的
2. 缺乏JSON感知：工具没有使用专门的JSON解析器，无法正确处理JSON格式
3. 换行符敏感性：当前实现依赖于JSON响应中的换行符来正确识别字段

Sectigo的ACME服务返回的JSON响应是紧凑格式（所有内容在一行），这加剧了AWK解析的问题。测试表明，如果人为插入换行符，解析可能"偶然"工作，但这绝非可靠解决方案。

HTTP头处理问题

另一个潜在问题是Replay-Nonce头的处理。Sectigo服务返回的是小写replay-nonce头，而GetSSL可能只检查了大小写敏感的Replay-Nonce，这会导致nonce验证失败。

解决方案建议

1. 引入JSON解析能力：

   • 使用专门的JSON解析工具如jq
   • 或者使用支持JSON的脚本语言(如Python)作为替代方案

2. 改进HTTP头处理：

   • 使用grep -i进行大小写不敏感的头部匹配
   • 或规范化所有头部比较为统一大小写

3. 增强错误处理：

   • 在解析失败时提供更有意义的错误信息
   • 验证端点URL的合理性

临时解决方案

对于急需解决问题的用户，可以尝试以下临时方案：

1. 修改GetSSL脚本，调整AWK的字段位置参数
2. 预处理JSON响应，插入换行符

但必须注意，这些方案都是脆弱的，可能在Sectigo更改响应格式时失效。

总结

GetSSL当前对ACME服务发现机制的处理存在明显不足，特别是在JSON解析方面。长期解决方案应该是引入可靠的JSON解析能力，而不是依赖文本处理工具。对于使用Sectigo等现代ACME服务的用户，建议关注该问题的官方修复进展，或考虑使用其他完全支持最新ACME协议的工具作为临时替代方案。