V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Showfom
V2EX  ›  问与答

hk.yahoo.com 的 SSL 证书被劫持?

  •  
  •   Showfom · 2014-09-30 12:37:54 +08:00 · 7155 次点击
    这是一个创建于 3694 天前的主题,其中的信息可能已经有所发展或是发生改变。
    30 条回复    2014-10-14 15:25:33 +08:00
    hh2153204
        1
    hh2153204  
       2014-09-30 12:46:33 +08:00
    电信劫持了。移动正常
    Showfom
        2
    Showfom  
    OP
       2014-09-30 12:47:46 +08:00
    @hh2153204 是的,就是电信。。。这是为毛呢
    hh2153204
        3
    hh2153204  
       2014-09-30 12:48:56 +08:00
    不清楚,反正浙江电信是劫持了。浙江移动没有劫持
    typcn
        4
    typcn  
       2014-09-30 12:50:21 +08:00
    我点开就卡住 左下角显示Establishing secure connection
    Showfom
        5
    Showfom  
    OP
       2014-09-30 13:04:59 +08:00
    @hh2153204 我也是浙江电信,看来是真的被劫持了- - 开 VPN 以后访问无压力
    mornlight
        6
    mornlight  
       2014-09-30 13:43:28 +08:00


    给你看看教育网的劫持,有一段时间了
    ysjdx
        7
    ysjdx  
       2014-09-30 14:00:34 +08:00
    @mornlight 我擦 难道我的代理怎么用不了了。。。原来整个教育网都被劫持了。。。
    Showfom
        8
    Showfom  
    OP
       2014-09-30 14:06:57 +08:00
    jasontse
        9
    jasontse  
       2014-09-30 14:10:54 +08:00 via iPad
    @Showfom 证书链有问题,根证书不被信任。
    Showfom
        10
    Showfom  
    OP
       2014-09-30 14:16:30 +08:00
    @jasontse 但是开了 VPN 以后就没事了,这是神马道理
    jasontse
        11
    jasontse  
       2014-09-30 14:31:05 +08:00 via iPad
    @Showfom
    开 VPN 以后从二层开始就加密代理了,劫持是从电信路由器上。
    lshero
        12
    lshero  
       2014-09-30 14:41:03 +08:00
    最近数字证书都很诡异
    https://mail.qq.com/
    你们看看有没有提示 证书有问题?
    Showfom
        13
    Showfom  
    OP
       2014-09-30 14:42:52 +08:00
    @jasontse 原来如北

    @lshero 这个没问题
    iugo
        14
    iugo  
       2014-09-30 15:07:59 +08:00
    路由表 VPN 的我没有感觉. 和香港最新形势有关吧.
    halczy
        15
    halczy  
       2014-09-30 16:22:22 +08:00
    广州电信直连测试

    Google 电信直连证书没问题


    @lshero
    QQ邮箱 直连好像也正常
    lshero
        16
    lshero  
       2014-09-30 16:29:32 +08:00
    @halczy 奇怪你的QQ邮箱和我的居然不是同一个CA颁发的证书

    lshero
        17
    lshero  
       2014-09-30 16:35:42 +08:00
    好诡异的现象 挂上VPN QQ邮箱的证书就好了

    如果说墙会干扰的话
    https://ditu.google.cn/ https://login.yahoo.com https://login.yahoo.com
    这里面这些证书又都是正常的
    jasontse
        18
    jasontse  
       2014-09-30 16:39:11 +08:00 via iPad
    @lshero 墙只干扰特定 IP。分析了一下,劫持发生在上海交换中心入口处。
    halczy
        19
    halczy  
       2014-09-30 16:40:26 +08:00
    @lshero 墙应该不会干扰到QQ邮箱吧? 你用的是什么网?
    lshero
        20
    lshero  
       2014-09-30 16:54:56 +08:00
    @halczy 公司用的宽带通的网络,我回去后用联通试一下
    lshero
        21
    lshero  
       2014-09-30 16:58:55 +08:00
    @jasontse 对啊,而且我的DNS解析出的IP是58.251.139.211
    查了一下这个IP应该也算是一个腾讯邮箱正常的的IP
    计算机虽然加域了,管理员可以下发策略,但是手机用公司网络访问QQ邮箱的HTTPS也提示证书有问题,所以真心感觉百思不得其解
    20140930
        22
    20140930  
       2014-09-30 17:09:42 +08:00
    好奇怪,电信居然可以直连google了。https加密证书无异常!yahoo的证书不被CA信任
    Showfom
        23
    Showfom  
    OP
       2014-09-30 17:10:49 +08:00
    @lshero 可能是 mail.qq.com 的某个 CDN 节点没有更新好证书?
    lshero
        24
    lshero  
       2014-09-30 17:36:33 +08:00
    @Showfom https://58.251.139.211/回住处访问发现是也是Geotrust签发的有效证书,国庆过后公司试试看访问https://58.251.139.211/ 是不是正常的证书
    jasontse
        25
    jasontse  
       2014-09-30 18:21:12 +08:00 via iPad
    @lshero 最好有公司 traceroute mail.qq.com 的信息,不排除是网管干的。
    mornlight
        26
    mornlight  
       2014-09-30 19:22:12 +08:00
    xoxo
        27
    xoxo  
       2014-09-30 19:33:49 +08:00
    楼主浏览器没信任verisign
    ranye
        28
    ranye  
       2014-10-01 05:41:44 +08:00
    http://www.solidot.org/story?sid=41316
    "今天(2014-09-30)下午四点左右,GreatFireChina观察到Yahoo在中国大陆遭受到了SSL中间人攻击,浏览器发出了证书错误的警告。
    可能由于流量过大导致SSL劫持设备资源消耗过于厉害,一些地区间歇性无法通过HTTPS访问Yahoo。在使用其他地区的VPS进行访问后,通过分析伪造的SSL证书,与之前Google IPv6所遭受的SSL攻击所使用的证书有多处相似:使用相同的签名算法和签名哈希算法、颁发者均以 C=cn 结尾,有效期均为一年,公钥均为RSA 1024 Bits,并且 Netscape Comment 同为'example comment extension'。
    而根据抓包结果,在遭受SSL中间人攻击时,使用的是TLSv1协议,但是未被SSL中间人攻击的情况下,应为TLSv1.2,这一点也和Google在教育网的IPv6地址遭受SSL中间人攻击的现象一致。
    截至到目前,此次SSL中间人攻击仅影响各个国家的Yahoo主站,并未影响到包括登录(login.yahoo.com)、邮箱(mail.yahoo.com)等网址。"
    jasontse
        29
    jasontse  
       2014-10-01 11:09:50 +08:00 via iPad
    半夜罢手,今天白天又开始了。
    carbon
        30
    carbon  
       2014-10-14 15:25:33 +08:00
    讨教学习:这个雅虎证书,其中的SubjectAltName有好多个yahuoo域下的名称。是不是劫持不知道,但是正常的证书,也存在这样的情况吧。貌似低版本系统或者浏览器不支持这个证书扩展项,就像cloudflare免费证书中解释的那样,cloudflare也貌似用的这个扩展项。
    如维基例子:
    http://en.wikipedia.org/wiki/SubjectAltName
    不当之处,还望不吝指教!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2851 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:26 · PVG 20:26 · LAX 04:26 · JFK 07:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.