V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
aivier
V2EX  ›  浏览器

HTTPS 访问 163 邮箱 SSL 变成 kyfw.12306.cn

  •  
  •   aivier · 2015-08-14 09:32:55 +08:00 · 5385 次点击
    这是一个创建于 3396 天前的主题,其中的信息可能已经有所发展或是发生改变。
    偶然发现在公司访问访问 https://email.163.com 的时候会弹出证书无效警告,查看了一下证书,显示是kyfw.12306.cn的...
    于是试了一下代理,几个变成12306证书的网站通过代理访问都是正常的有效证书,是CDN节点配置错误?还是网络劫持?
    几个网站用的都是 xdwscache.glb0.lxdns.com

    开代& 理前:



    开代& 理后:

    15 条回复    2015-08-14 13:39:06 +08:00
    FrankFang128
        1
    FrankFang128  
       2015-08-14 09:36:46 +08:00 via Android
    +1 求解答
    squid157
        2
    squid157  
       2015-08-14 09:37:16 +08:00
    据说CDN是跟12306公用
    yesicoo
        3
    yesicoo  
       2015-08-14 09:39:23 +08:00
    我也是,换墙外IP就正常了
    imn1
        4
    imn1  
       2015-08-14 09:50:00 +08:00
    一周内第二次见到 kyfw.12306.cn
    有增长趋势,各位留意
    yylzcom
        5
    yylzcom  
       2015-08-14 09:55:26 +08:00
    阴毛论:
    1. 用在线购票逼迫大家都安装12306证书
    2. 用12306证书进行某种阴毛
    iptux
        6
    iptux  
       2015-08-14 10:27:03 +08:00
    然而 https://mail.163.com/ 证书没有问题,但含有 http 的 js 脚本
    shinko
        7
    shinko  
       2015-08-14 10:29:38 +08:00
    我进去也提示了。。。。

    email.163.com 使用了无效的安全证书。

    该证书因为其颁发者证书未知而不被信任。
    该服务器可能未发送相应的中间证书。
    可能需要导入一个额外的根证书。
    该证书仅对 kyfw.12306.cn 有效。

    (错误码: sec_error_unknown_issuer)
    wy315700
        8
    wy315700  
       2015-08-14 10:30:19 +08:00
    网宿的CDN问题,网易没有用HTTPS服务
    shinko
        9
    shinko  
       2015-08-14 10:31:43 +08:00
    噢,第二次点进去又没事了。。。。
    Rezark
        10
    Rezark  
       2015-08-14 10:33:32 +08:00
    163和天朝的12306在国内都做了CDN,只是12306占用了CDN的https端口
    yeyeye
        11
    yeyeye  
       2015-08-14 11:08:25 +08:00
    @Rezark 回答的不全面

    其实是12306和163都使用网宿的CDN,而这家的所有节点都部署了12306的证书,所以其他家网站使用这家的CDN是会出现12306的证书。

    而且这个问题在v2ex问过很多次了
    Rezark
        12
    Rezark  
       2015-08-14 11:20:35 +08:00
    @yeyeye 补充的很好,多内的CDN上面部署证书都是要额外收费的。
    aivier
        13
    aivier  
    OP
       2015-08-14 11:37:32 +08:00
    @iptux 我这打不开,所以才用这个地址

    @wy315700 但是翻出去就有HTTPS了?

    @Rezark 一个IP是可以多个带证书的域名的

    @yeyeye 那就是CDN配置问题了,这东西又不是唯一的,一个IP也可以为不同域名使用不同证书,翻出去就正常,我没搜到,不然就不会发帖了
    mcone
        14
    mcone  
       2015-08-14 12:10:19 +08:00
    网宿CDN…………google一下你就知道了

    之前我也遇到过这个问题,也很诧异,后来别人就发给我这几个字符,查了下我就懂了……………………
    (这个感觉也快变成monthly的话题了)
    yeyeye
        15
    yeyeye  
       2015-08-14 13:39:06 +08:00
    @aivier “这东西又不是唯一”

    如果没开启SNI,一个IP的一个端口只能配置一个SSL证书。

    就是唯一!就是唯一!就是唯一!

    而开启SNI,可以在相同端口配置多个SSL证书,旧浏览器又不支持,某些软件也不支持(网络客户端软件,比如说RSS阅读器就有不支持SNI的),总之就是兼容性有问题。所以不是技术够好的CDN,一般不会去支持SSL。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2627 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:00 · PVG 10:00 · LAX 18:00 · JFK 21:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.