1
tylinux 2018-01-03 09:27:41 +08:00 via Android 5
锥子,斜技…
|
2
xman99 2018-01-03 09:27:55 +08:00
请描述清楚, 是锤子, 不是锥子,哈哈哈
|
3
linescape 2018-01-03 09:28:24 +08:00
人压根没配,是你多加了 s 而已
|
4
riggzh 2018-01-03 09:29:04 +08:00
http t.tt 会跳 https://www.smartisan.com/
|
5
f2f2f 2018-01-03 09:29:30 +08:00
301 跳转的为啥还要给配 https ……
|
7
twoyuan OP @linescape #3 配了的,Chrome 的报错是 net::ERR_CERT_COMMON_NAME_INVALID,证书信息可以看到是 *.smartisan.com 的
|
8
davidyin 2018-01-03 09:35:40 +08:00
这里显示的超时。没有跳转。
|
9
q409195961 2018-01-03 09:36:46 +08:00
3L 正解
|
10
wsly47 2018-01-03 09:40:21 +08:00 via iPhone
|
11
forsam 2018-01-03 09:43:01 +08:00
总想搞些大新闻
|
12
riggzh 2018-01-03 09:45:05 +08:00
|
14
LeoNG 2018-01-03 09:46:38 +08:00 1
锤子!! 科技!!
你想决战优酷吗! |
15
Panic 2018-01-03 09:51:34 +08:00
不够体面啊
|
16
rrfeng 2018-01-03 10:08:11 +08:00
说实话这些小细节真的不是每个人(运维)都能考虑到的。
|
17
Phariel 2018-01-03 10:11:42 +08:00
锥子斜技
楼主是五笔玩家么??? |
18
dangyuluo 2018-01-03 10:17:09 +08:00
|
20
realpg 2018-01-03 10:31:19 +08:00
人家根本没开 https 服务 443 上跑的是 smartisan 的网站
|
21
ouqihang 2018-01-03 10:39:10 +08:00
楼主故意打错字,估计是想避免纠纷什么的,老罗可不好惹,V 站的贴又很容易搜到。
|
22
Phariel 2018-01-03 10:42:29 +08:00 1
|
23
scriptB0y 2018-01-03 10:45:14 +08:00 2
@linescape @q409195961 t.tt 的 443 是开了的,只不过是 smartisan.com 的网站。这不叫“没配啊”
https://gist.github.com/laixintao/21771e85ddd5d06da932dd8e3a965be3 这个就是 443 握手成功,但是获得的证书里面不包含 t.tt 域名。这里要么给 t.tt 申请一个域名 https 要么证书换成多域名的加上 t.tt @f2f2f 301 也是 HTTP 的状态码,为什么 301 也要配 HTTPS 跳转,就和为什么要配 HTTPS 答案一样。想要安全,就用 TLS 建立连接了才拿到 301 状态码。 @realpg 说没开也不准确吧, 如果没开应该把 host 是 t.tt 的 443 端口请求直接关掉吧。 |
24
logOo 2018-01-03 10:51:31 +08:00
|
25
wwqgtxx 2018-01-03 10:54:14 +08:00 via iPhone
|
26
xi2008wang 2018-01-03 10:56:26 +08:00
200 万买的域名,证书都懒得买
|
27
scriptB0y 2018-01-03 11:01:56 +08:00
@wwqgtxx cdn 也可以关闭 443 吧。我觉得“关闭来自 t.tt 的 443 ”比“把来自 t.tt 的 443 的请求转发到 www.smartisan.com 的 443 ”更合适一些吧? 虽然两者都是错误……
|
28
Tinet 2018-01-03 11:04:06 +08:00
五笔用户,而且应该上了年纪了,字都不记得怎么写了
|
29
wwqgtxx 2018-01-03 11:59:12 +08:00 via iPhone
@scriptB0y 看来你是没配置过 cdn,一般 cdn 回源的时候不管你前台是 http 还是 https 后端都是走同一个协议回源真正的服务器(当然也可以配置成选择性回源),在访问 https://t.tt 的时候 403 只是因为访问 http://t.tt 的时候也是 403 到 https://www.smartisan.com/仅此而已,人家维护人员都懒得给 t.tt 配置个证书还指望人家专门加个配置把 t.tt 的 https 访问关掉?多此一举
|
30
wwqgtxx 2018-01-03 12:01:09 +08:00 via iPhone
@scriptB0y 而且你去手动 nslookup 一下就知道 t.tt 和 www.smartisan.com 是解析到同一个 cdn 的,直接把 t.tt 的 443 端口关了,你让 https://www.smartisan.com/ 怎么访问
|
33
wwqgtxx 2018-01-03 12:11:07 +08:00 via iPhone
@liuxu623 虽然在 nginx 或者其他服务器配置中的确可以关闭指定 host 的 https 的访问,但是有那个功夫干嘛不配置个 https 证书,不就是运维啥都没配置而已么…
|
34
liuxu623 2018-01-03 12:12:17 +08:00 via Android
|
36
wwqgtxx 2018-01-03 12:24:35 +08:00
|
37
liuxu623 2018-01-03 12:26:30 +08:00 via Android
|
39
wwqgtxx 2018-01-03 12:28:22 +08:00 via iPhone
质量->智商
|
40
liuxu623 2018-01-03 12:29:56 +08:00 via Android
|
41
wwqgtxx 2018-01-03 12:30:23 +08:00 via iPhone
|
42
liuxu623 2018-01-03 12:32:09 +08:00 via Android
|
43
wwqgtxx 2018-01-03 12:35:36 +08:00
|
44
wwqgtxx 2018-01-03 12:37:33 +08:00
|
45
lyhiving 2018-01-03 12:48:36 +08:00 via Android
一些浏览器会一 s 到底,所以锤子申请个免费的换上去就可以了。都散了吧
|
46
banro512 2018-01-03 13:27:37 +08:00 via Android
打起来了
哈哈 |
47
server 2018-01-03 13:56:29 +08:00
锥子斜技
|
48
tylerdurden 2018-01-03 14:18:54 +08:00
好像问题已经解决了?
|
49
scriptB0y 2018-01-03 14:21:50 +08:00
@tylerdurden 是的已经解决了,证书没问题了。
curl -Iv https://t.tt * Rebuilt URL to: https://t.tt/ * Trying 140.143.179.117... * TCP_NODELAY set * Connected to t.tt (140.143.179.117) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Client hello (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Client hello (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use http/1.1 * Server certificate: * subject: C=CN; ST=BeiJing; L=BeiJing; O=Smartisan Technology Co.,LTD.; OU=IT Dept; CN=www.t.tt * start date: Aug 24 00:00:00 2016 GMT * expire date: Aug 24 23:59:59 2019 GMT * subjectAltName: host "t.tt" matched cert's "t.tt" * issuer: C=US; O=GeoTrust Inc.; CN=GeoTrust SSL CA - G3 * SSL certificate verify ok. > HEAD / HTTP/1.1 > Host: t.tt > User-Agent: curl/7.54.0 > Accept: */* > < HTTP/1.1 301 Moved Permanently HTTP/1.1 301 Moved Permanently < Date: Wed, 03 Jan 2018 06:21:01 GMT Date: Wed, 03 Jan 2018 06:21:01 GMT < Content-Type: text/html Content-Type: text/html < Content-Length: 178 Content-Length: 178 < Connection: keep-alive Connection: keep-alive < Location: https://www.smartisan.com Location: https://www.smartisan.com < Server: ARTWS/1.0 Server: ARTWS/1.0 < X-XSS-Protection: 1;mode=block X-XSS-Protection: 1;mode=block < * Connection #0 to host t.tt left intact |
50
tylerdurden 2018-01-03 14:32:02 +08:00
issue closed,next !
|
51
dobelee 2018-01-03 14:33:38 +08:00
锥子斜技...笑尿了。。。
|
52
jason19659 2018-01-03 17:39:59 +08:00
66666
|
53
Terry05 2018-01-03 17:43:25 +08:00
不怕老罗找你上优酷吗?
|
54
twoyuan OP |
55
salmon5 2018-01-03 18:24:16 +08:00
openssl s_client -connect t.tt:443 2>&1 | openssl x509 -text |grep -A1 "Subject Alternative Name"
X509v3 Subject Alternative Name: DNS:static.smartisanos.cn, DNS:dl2.smartisan.cn, DNS:www.t.tt, DNS:t.tt 这个还是有必要的,这就是一个运维的情怀,不是 60 分就行了,90-100 分才行。 HSTS 也是必要的。 |
57
msg7086 2018-01-04 03:24:06 +08:00
看到有人说 IP 上的端口可以根据 host 选择性关闭我就笑了。v2 大了什么智商的鸟都来了。
|