我用的是湖南移动宽带, dig www.zhihu.com +trace 时中途就断了,得不到正确结果,去掉+trace 后,能得到 A 记录指向: 111.23.9.44 ,长沙移动的 ip ,很显然,这并不知乎自己花钱买的 CDN ,而是移动强行免费替知乎搞的缓存,那么这种情况下,我 https 访问知乎时, ssl 证书在技术上是怎么搞的?证书指纹为“ e2 a8 41 8e 1f 47 6c 85 50 11 f8 5c 94 be bd f6 fc b4 a2 21 ”,从路径来看,应该是合法的知乎证书,而且 Chrome 认为证书是可靠的。
1
cmxz 2016-07-24 22:04:21 +08:00 via Android 1
他们的服务器在 443 端口上相当路由器。在 80 上是缓存服务器。
ps :你可以在 hosts 中把 www.taobao.com 指向这个 ip ,也是可以正常访问的。因为他们的服务没对 https 的请求做任何判断直接转发了 |
2
cmxz 2016-07-24 22:05:29 +08:00 via Android 1
各省移动基本都有这种 ip 。另外香港盈科电讯也有两个 IP 是干这个的
|
3
BSD OP @cmxz 啊?真的么?那这样有什么必要呢?方便做流量穿透?但直接 NAT 也可以做到呀,我看这么做的目的,还是蛮可疑的。。。。
|
5
cmxz 2016-07-24 22:25:33 +08:00 via Android
@BSD 因为他们进行了 DNS 劫持,然后在 80 端口做了 http 缓存,为了不影响用户正常访问 443 端口,所以才对 443 端口的请求直接转发
|
6
New2016 2016-07-24 22:28:39 +08:00
移动为了节省网间流量结算费
|
9
est 2016-07-24 23:00:09 +08:00
把 sni 去掉试试
|
10
v1024 2016-07-24 23:04:14 +08:00 via iPhone 2
听说过 SNIProxy 吗?
|
11
jhaohai 2016-07-24 23:07:08 +08:00 via iPhone
直接流量转发的吧
|
12
BSD OP @v1024
哦,原来这样呀: Features Name-based proxying of HTTPS without decrypting traffic. No keys or certificates required. Supports both TLS and HTTP protocols. Supports IPv4, IPv6 and Unix domain sockets for both back end servers and listeners. Supports multiple listening sockets per instance. |
13
ZE3kr 2016-07-25 06:48:14 +08:00 via iPhone
这是基于第七层的么?如果是的话那么知乎收集到的访客 IP 难道不也是错的了么。
|