最近发现有一些用户请求网络异常
根据上传的 log,他们请求的证书 VeriSign Class 3 Public Primary Certification Authority - G5
sha1:a546086a79aee93637e1e81d68b46d24439e7826
而且只获取到这一个证书,并不是一个证书链,正常情况下,比如 Charles,你设置一个证书 A
他会根据这个证书签发一个和访问域名对应的证书下发
A -> *.yourdomain.com
去 digicert 发现 sha1 也对不上。
Subject DN: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5
Operational Start Date: Nov 8 00:00:00 2006 GMT
Operational End Date: Jul 16 23:59:59 2036 GMT
Key Size: 2048 bit
Signature Algorithm: sha1WithRSAEncryption
Serial Number: 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a
SHA-1 Thumbprint: 4E B6 D5 78 49 9B 1C CF 5F 58 1E AD 56 BE 3D 9B 67 44 A5 E5
Hierarchy: Public TLS / SSL, CodeSigning, Client Auth/Email
Root Download Link: https://www.websecurity.digicert.com/content/dam/websitesecurity/digitalassets/desktop/pdfs/roots/VeriSign-Class%203-Public-Primary-Certification-Authority-G5.pem
而且这些用户 ip 全国都有,应该不是一个个例,巧合他们的 sha1 都是这个吗?
还是他们用的同一款抓包软件?
根据这个 sha1 也搜不到任何内容
google 结果
1
AoEiuV020 2021-06-02 10:45:26 +08:00
不明觉厉,用户证书?
说到证书链的话,我记得确实有些服务器只配置一个证书而不是证书链,导致普通浏览器正确访问,但部分浏览器或者其他什么比如 curl 就获取不到证书链造成错误, |
2
liuidetmks OP @AoEiuV020 服务器显然不是你说的这种情况,而且即使是这样配的话,也应该是配置一个自己的域名证书吧。实在想不通为什么会出现这种情况,好在用户量不大,一个小时 1 个人有这种问题
|
3
ruixue 2021-06-02 10:59:50 +08:00 2
|
4
liuidetmks OP @ruixue 谢谢,您太牛了,这个都搜到了。
全国范围不同人都使用这个假证书, 看来应该是某个软件内置了这个证书 |
5
wipbssldo 2021-06-02 11:35:36 +08:00
你们是什么 Web 吗?为什么别人软件里面内置的证书可以访问到你们服务器?
|
6
Rheinmetal 2021-06-02 11:58:07 +08:00
@liuidetmks bot net 的可能性也不小
|
7
arrow629 2021-06-02 12:44:44 +08:00 via Android
看着像以前深信服的 AC 行为管理的 ssl 默认根证书,可以问一下他们是不是用公司网络请求你的,不过只有一个根证书确实也很奇怪,这样不会报证书错误吗
|
8
liuidetmks OP @Rheinmetal 应该不至于,是 iOS 用户,未越狱,应该是像 7 楼说的,用的公司网络。
@arrow629 确实有一些用户,使用的公司网络。我在想这种情况是不是应该提示用户使用移动网络。不过使用这类网络的公司也应该禁止了用户用自己 4G 吧。(猜的 |