hk.yahoo.com 的 SSL 证书被劫持？

劫持

SSL

证书

30 条回复 • 2014-10-14 15:25:33 +08:00

1

hh2153204

2014-09-30 12:46:33 +08:00

电信劫持了。移动正常

2

Showfom

OP

2014-09-30 12:47:46 +08:00

@hh2153204 是的，就是电信。。。这是为毛呢

3

hh2153204

2014-09-30 12:48:56 +08:00

不清楚，反正浙江电信是劫持了。浙江移动没有劫持

4

typcn

2014-09-30 12:50:21 +08:00

我点开就卡住左下角显示Establishing secure connection

5

Showfom

OP

2014-09-30 13:04:59 +08:00

@hh2153204 我也是浙江电信，看来是真的被劫持了- - 开 VPN 以后访问无压力

6

mornlight

2014-09-30 13:43:28 +08:00

给你看看教育网的劫持，有一段时间了

7

ysjdx

2014-09-30 14:00:34 +08:00

@mornlight 我擦　难道我的代理怎么用不了了。。。原来整个教育网都被劫持了。。。

8

Showfom

OP

2014-09-30 14:06:57 +08:00

@mornlight 那 https://www.google.com/ 呢？

9

jasontse

2014-09-30 14:10:54 +08:00 via iPad

@Showfom 证书链有问题，根证书不被信任。

10

Showfom

OP

2014-09-30 14:16:30 +08:00

@jasontse 但是开了 VPN 以后就没事了，这是神马道理

11

jasontse

2014-09-30 14:31:05 +08:00 via iPad

@Showfom
开 VPN 以后从二层开始就加密代理了，劫持是从电信路由器上。

12

lshero

2014-09-30 14:41:03 +08:00

最近数字证书都很诡异
https://mail.qq.com/
你们看看有没有提示证书有问题？

13

Showfom

OP

2014-09-30 14:42:52 +08:00

@jasontse 原来如北

@lshero 这个没问题

14

iugo

2014-09-30 15:07:59 +08:00

路由表 VPN 的我没有感觉. 和香港最新形势有关吧.

15

halczy

2014-09-30 16:22:22 +08:00

广州电信直连测试

Google 电信直连证书没问题

@lshero
QQ邮箱直连好像也正常

16

lshero

2014-09-30 16:29:32 +08:00

@halczy 奇怪你的QQ邮箱和我的居然不是同一个CA颁发的证书

17

lshero

2014-09-30 16:35:42 +08:00

好诡异的现象挂上VPN QQ邮箱的证书就好了

如果说墙会干扰的话
https://ditu.google.cn/ https://login.yahoo.com https://login.yahoo.com
这里面这些证书又都是正常的

18

jasontse

2014-09-30 16:39:11 +08:00 via iPad

@lshero 墙只干扰特定 IP。分析了一下，劫持发生在上海交换中心入口处。

19

halczy

2014-09-30 16:40:26 +08:00

@lshero 墙应该不会干扰到QQ邮箱吧? 你用的是什么网?

20

lshero

2014-09-30 16:54:56 +08:00

@halczy 公司用的宽带通的网络，我回去后用联通试一下

21

lshero

2014-09-30 16:58:55 +08:00

@jasontse 对啊，而且我的DNS解析出的IP是58.251.139.211
查了一下这个IP应该也算是一个腾讯邮箱正常的的IP
计算机虽然加域了，管理员可以下发策略，但是手机用公司网络访问QQ邮箱的HTTPS也提示证书有问题，所以真心感觉百思不得其解

22

20140930

2014-09-30 17:09:42 +08:00

好奇怪，电信居然可以直连google了。https加密证书无异常！yahoo的证书不被CA信任

23

Showfom

OP

2014-09-30 17:10:49 +08:00

@lshero 可能是 mail.qq.com 的某个 CDN 节点没有更新好证书？

24

lshero

2014-09-30 17:36:33 +08:00

@Showfom https://58.251.139.211/回住处访问发现是也是Geotrust签发的有效证书，国庆过后公司试试看访问https://58.251.139.211/ 是不是正常的证书

25

jasontse

2014-09-30 18:21:12 +08:00 via iPad

@lshero 最好有公司 traceroute mail.qq.com 的信息，不排除是网管干的。

26

mornlight

2014-09-30 19:22:12 +08:00

@Showfom https://www.google.com/ 也是一样的

27

xoxo

2014-09-30 19:33:49 +08:00

楼主浏览器没信任verisign

28

ranye

2014-10-01 05:41:44 +08:00

http://www.solidot.org/story?sid=41316
"今天(2014-09-30)下午四点左右，GreatFireChina观察到Yahoo在中国大陆遭受到了SSL中间人攻击，浏览器发出了证书错误的警告。
可能由于流量过大导致SSL劫持设备资源消耗过于厉害，一些地区间歇性无法通过HTTPS访问Yahoo。在使用其他地区的VPS进行访问后，通过分析伪造的SSL证书，与之前Google IPv6所遭受的SSL攻击所使用的证书有多处相似：使用相同的签名算法和签名哈希算法、颁发者均以 C=cn 结尾，有效期均为一年，公钥均为RSA 1024 Bits，并且 Netscape Comment 同为'example comment extension'。
而根据抓包结果，在遭受SSL中间人攻击时，使用的是TLSv1协议，但是未被SSL中间人攻击的情况下，应为TLSv1.2，这一点也和Google在教育网的IPv6地址遭受SSL中间人攻击的现象一致。
截至到目前，此次SSL中间人攻击仅影响各个国家的Yahoo主站，并未影响到包括登录（login.yahoo.com）、邮箱（mail.yahoo.com）等网址。"

29

jasontse

2014-10-01 11:09:50 +08:00 via iPad

半夜罢手，今天白天又开始了。

30

carbon

2014-10-14 15:25:33 +08:00

讨教学习：这个雅虎证书，其中的SubjectAltName有好多个yahuoo域下的名称。是不是劫持不知道，但是正常的证书，也存在这样的情况吧。貌似低版本系统或者浏览器不支持这个证书扩展项，就像cloudflare免费证书中解释的那样，cloudflare也貌似用的这个扩展项。
如维基例子：
http://en.wikipedia.org/wiki/SubjectAltName
不当之处，还望不吝指教！