HTTPS 访问 163 邮箱 SSL 变成 kyfw.12306.cn?

2015-08-14 09:32:55 +08:00
 aivier
偶然发现在公司访问访问 https://email.163.com 的时候会弹出证书无效警告,查看了一下证书,显示是kyfw.12306.cn的...
于是试了一下代理,几个变成12306证书的网站通过代理访问都是正常的有效证书,是CDN节点配置错误?还是网络劫持?
几个网站用的都是 xdwscache.glb0.lxdns.com

开代& 理前:



开代& 理后:

5397 次点击
所在节点    浏览器
15 条回复
FrankFang128
2015-08-14 09:36:46 +08:00
+1 求解答
squid157
2015-08-14 09:37:16 +08:00
据说CDN是跟12306公用
yesicoo
2015-08-14 09:39:23 +08:00
我也是,换墙外IP就正常了
imn1
2015-08-14 09:50:00 +08:00
一周内第二次见到 kyfw.12306.cn
有增长趋势,各位留意
yylzcom
2015-08-14 09:55:26 +08:00
阴毛论:
1. 用在线购票逼迫大家都安装12306证书
2. 用12306证书进行某种阴毛
iptux
2015-08-14 10:27:03 +08:00
然而 https://mail.163.com/ 证书没有问题,但含有 http 的 js 脚本
shinko
2015-08-14 10:29:38 +08:00
我进去也提示了。。。。

email.163.com 使用了无效的安全证书。

该证书因为其颁发者证书未知而不被信任。
该服务器可能未发送相应的中间证书。
可能需要导入一个额外的根证书。
该证书仅对 kyfw.12306.cn 有效。

(错误码: sec_error_unknown_issuer)
wy315700
2015-08-14 10:30:19 +08:00
网宿的CDN问题,网易没有用HTTPS服务
shinko
2015-08-14 10:31:43 +08:00
噢,第二次点进去又没事了。。。。
Rezark
2015-08-14 10:33:32 +08:00
163和天朝的12306在国内都做了CDN,只是12306占用了CDN的https端口
yeyeye
2015-08-14 11:08:25 +08:00
@Rezark 回答的不全面

其实是12306和163都使用网宿的CDN,而这家的所有节点都部署了12306的证书,所以其他家网站使用这家的CDN是会出现12306的证书。

而且这个问题在v2ex问过很多次了
Rezark
2015-08-14 11:20:35 +08:00
@yeyeye 补充的很好,多内的CDN上面部署证书都是要额外收费的。
aivier
2015-08-14 11:37:32 +08:00
@iptux 我这打不开,所以才用这个地址

@wy315700 但是翻出去就有HTTPS了?

@Rezark 一个IP是可以多个带证书的域名的

@yeyeye 那就是CDN配置问题了,这东西又不是唯一的,一个IP也可以为不同域名使用不同证书,翻出去就正常,我没搜到,不然就不会发帖了
mcone
2015-08-14 12:10:19 +08:00
网宿CDN…………google一下你就知道了

之前我也遇到过这个问题,也很诧异,后来别人就发给我这几个字符,查了下我就懂了……………………
(这个感觉也快变成monthly的话题了)
yeyeye
2015-08-14 13:39:06 +08:00
@aivier “这东西又不是唯一”

如果没开启SNI,一个IP的一个端口只能配置一个SSL证书。

就是唯一!就是唯一!就是唯一!

而开启SNI,可以在相同端口配置多个SSL证书,旧浏览器又不支持,某些软件也不支持(网络客户端软件,比如说RSS阅读器就有不支持SNI的),总之就是兼容性有问题。所以不是技术够好的CDN,一般不会去支持SSL。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/213108

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX