首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
WoodenRobot
V2EX  ›  全球工单系统

Github pages 的 HTTPS 是不是出问题了?

  WoodenRobot · 68 天前 · 34793 次点击
这是一个创建于 68 天前的主题,其中的信息可能已经有所发展或是发生改变。

所有的 github pages 页面开启 HTTPS 的话证书都变成下面这个了?什么情况? image.png

332 条回复    2020-03-28 11:06:30 +08:00
1  2  3  4  
hooon
    101
hooon   68 天前
@alect 我套了好像不行
gwy15
    102
gwy15   68 天前
githubstatus.com 也被劫持了
hshpy
    103
hshpy   68 天前
@alect 可以
forgottencoast
    104
forgottencoast   68 天前
海南电信 pages.github.com 挂了,github.com 正常。
hooon
    105
hooon   68 天前
@hshpy 为啥我不行,能指导下不? Q9871435
ypzhou
    106
ypzhou   68 天前
复现加 1
xclwt
    107
xclwt   68 天前
江苏移动,pages.github.com,desktop.github.com,githubstatus.com 都挂了,主站正常
hshpy
    108
hshpy   68 天前
@hooon 你本地 dns 缓存清下,套上后等生效。
linnaea
    109
linnaea   68 天前
这玩意劫持怎么好像随便 SNI 发什么都会按照 SNI 连出去的样子,测了微软
holysin
    110
holysin   68 天前   ❤️ 3
荷兰电信正常
d1540076394
    111
d1540076394   68 天前
山东电信家宽 连接超时 根本打不开
山东移动 4G 成功复现 pages.github.com *.github.io 都挂了
linnaea
    112
linnaea   68 天前   ❤️ 1
openssl s_client -host githubstatus.com -port 443 -showcerts -servername www.microsoft.com
Kayzii
    113
Kayzii   68 天前
北京联通复现
Oxygen2333
    114
Oxygen2333   68 天前
浙江电信复现,上海腾讯云复现
XavierWang3P
    115
XavierWang3P   68 天前
广东电信复现
alan0liang
    116
alan0liang   68 天前
北京电信复现
thirteenc13
    117
thirteenc13   68 天前
福建电信复现
tabris17
    118
tabris17   68 天前
比较高层次的中间人攻击。
ACZMUX
    119
ACZMUX   68 天前
为啥我没被挟持
yimi233
    120
yimi233   68 天前
我的开启 https 也出问题
imlk
    121
imlk   68 天前
江西电信复现
yankebupt
    122
yankebupt   68 天前
北京联通复现
imlk
    123
imlk   68 天前
百度搜索该邮箱,从 csdn 一篇帖子 https://blog.csdn.net/yhyhyhy/article/details/51248497#comments 的评论中找到了与该邮箱相关的人,https://me.csdn.net/qq_29158525
sanduo
    124
sanduo   68 天前
北京移动复现
Vinceeeent
    125
Vinceeeent   68 天前
有人能具体解释一下原理吗?
pwf
    126
pwf   68 天前
```
[email protected]:~$ openssl s_client -showcerts -connect pages.github.com:443
CONNECTED(00000005)
depth=1 C = CN, ST = GD, L = SZ, O = COM, OU = NSP, CN = CA, emailAddress = [email protected]
verify error:num=19:self signed certificate in certificate chain
```
codevvvv9
    127
codevvvv9   68 天前
@hshpy 清理本地 dns 就能打开网站了吗
RyuZheng
    128
RyuZheng   68 天前
@hooon # 101 刚试了自己的博客,套了 Cloudflare 的,没事
hshpy
    129
hshpy   68 天前
@codevvvv9 185.199.108.153,185.199.111.153,185.199.110.153,185.199.109.153 这 4 个国内 TCP 路由有问题。套上 CF 清缓存应该就没问题了,只要博客不要有域名解析这 4 个 IP 。
icreeper
    130
icreeper   68 天前
北京联通复现 刚才以为是个例 没想到原来大家都有这个问题
Phariel
    131
Phariel   68 天前
路由广播风暴?
dndx
    132
dndx   68 天前   ❤️ 16
这种不是一般的 BGP leak,因为如果是路由泄漏不会只泄漏 443 而 80,ICMP 都正常。应该是在骨干路由器上做的 PBR 仅把 443 端口给劫持了。

能做到七层精准劫持的一定不是那么简单。
TongSyu
    133
TongSyu   68 天前
根据证书 Google 了,GD SZ NSP 关键词搜索到了
Shenzhen NSP Ligting Technology Co.,Ltd
www.nsplight.com
菠菜网站,不知道这位大佬跟这个有没有关系。
chinvo
    134
chinvo   68 天前   ❤️ 1
@TongSyu GD SZ NSP 我感觉是这个 https://www.jianshu.com/p/8eb3c6888bef
yankebupt
    135
yankebupt   68 天前
但是就奇怪了……
用 chrome 打开 pages.github.com ,会提示该站点有 HSTS 连强行连接的选项都没,那么是在做压力测试呢,还是在做国产浏览器占有率调研呢
codevvvv9
    136
codevvvv9   68 天前
@hshpy 具体怎么操作啊
hooon
    137
hooon   68 天前
@RyuZheng 我两个网站,一个使用腾讯的 SSL 证书可以打开,一个使用 freessl 的证书不行,全局代理访问没问题
ExplorerLog
    138
ExplorerLog   68 天前
Cloudflare 绕过
csy123
    139
csy123   68 天前
重庆联通也复现了...这次有点王炸
northernlights
    140
northernlights   68 天前
测试结果:
洛杉矶电信正常
郑州移动复现
许昌联通复现
腾讯云(重庆)复现
阿里云(北京)无法打开
LostPrayers
    141
LostPrayers   68 天前
DNS 污染现场?
TongSyu
    142
TongSyu   68 天前
@chinvo 真相了?看他简书里面的确是有
openssl req -new -key server_rsa_private.pem -passin pass:server -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=COM/OU=NSP/CN=SERVER/[email protected]"
northernlights
    143
northernlights   68 天前
这是什么人?竟有这么大的能力?
strongwong
    144
strongwong   68 天前
我的套了一层 cloudflare 可以访问
TongSyu
    145
TongSyu   68 天前
@chinvo 蛛丝马迹又找到了这个
openssl 实现双向认证教程
https://www.lagou.com/lgeduarticle/52972.html
amai0w0
    146
amai0w0   68 天前 via Android
复现加一,还以为是自己网络有问题,挂代理后正常。
gpx
    147
gpx   68 天前 via Android
@alect CF 可以解决,因为用的是 CF 的证书
hshpy
    148
hshpy   68 天前
@codevvvv9 套 Cloudflare,具体谷歌。
alan0liang
    149
alan0liang   68 天前
@TongSyu 也许只是劫持的人参考了个教程?
TongSyu
    150
TongSyu   68 天前
@alan0liang 也许吧,待我去查查 138qb.cn 的互联网档案。
liut2016
    151
liut2016   68 天前
希望是暂时的...
caryqy
    152
caryqy   68 天前   ❤️ 1
各位以后写教程的时候记得别把自己信息写进去
hxyqwq
    153
hxyqwq   68 天前
四川移动 firefox/new edge:页面载入出错,响应时间过长
amzrk2
    154
amzrk2   68 天前
我就说今天下午怎么回事,排除问题排查了半天,江苏电信 江苏联通已复现
mshadow
    155
mshadow   68 天前
@forgottencoast 四川电信也是
miaomiao888
    156
miaomiao888   68 天前   ❤️ 4
17 天前我就注意到有人在劫持谷歌 IP,好像查看证书时也出现这个 QQ

当时在这个帖子下面提了一嘴 www.v2ex.com/t/651016#reply8
garryforreg420
    157
garryforreg420   68 天前
江苏电信,直接无法打开
vone
    158
vone   68 天前
河南郑州联通已被劫持
zhenjiachen
    159
zhenjiachen   68 天前
@RyuZheng Cloudflare 只有 cname 啊,我就是永的 Cloudflare 的 cname 还是不行,你是怎么弄的?
asdwfwqd
    160
asdwfwqd   68 天前
济南联通复现
但是我在服务器上写了个 301 重定向,用我自己的域名+证书可以正常访问,没提示错误
mnihyc
    161
mnihyc   68 天前
劫持复现,又搞大动作
explore365
    162
explore365   68 天前
上海电信复现
razeen
    163
razeen   68 天前
+1 上海电信

➜ ~ curl -vvv https://go-acme.github.io/ -k -I
* Trying 185.199.109.153...
* TCP_NODELAY set
* Connected to go-acme.github.io (185.199.109.153) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/cert.pem
CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected]
* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected]
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> HEAD / HTTP/1.1
> Host: go-acme.github.io
> User-Agent: curl/7.64.1
> Accept: */*


➜ ~ traceroute go-acme.github.io
traceroute: Warning: go-acme.github.io has multiple addresses; using 185.199.111.153
traceroute to go-acme.github.io (185.199.111.153), 64 hops max, 52 byte packets
1 192.168.10.3 (192.168.10.3) 4.853 ms 5.880 ms 10.920 ms
2 58.32.0.1 (58.32.0.1) 7.142 ms 6.809 ms 4.067 ms
3 101.95.91.65 (101.95.91.65) 5.320 ms 5.360 ms
101.95.91.69 (101.95.91.69) 13.493 ms
4 101.95.88.49 (101.95.88.49) 7.511 ms
101.95.88.61 (101.95.88.61) 7.240 ms 6.595 ms
5 * 59.43.130.198 (59.43.130.198) 57.626 ms *
6 59.43.186.246 (59.43.186.246) 14.080 ms 28.236 ms
59.43.187.78 (59.43.187.78) 5.358 ms
7 59.43.248.238 (59.43.248.238) 30.597 ms 32.730 ms
59.43.189.82 (59.43.189.82) 34.298 ms
8 63.218.211.9 (63.218.211.9) 34.244 ms 37.515 ms 61.540 ms
9 63.218.174.217 (63.218.174.217) 34.487 ms 34.856 ms 33.423 ms
10 63.218.174.217 (63.218.174.217) 32.784 ms 40.958 ms 35.800 ms
RyuZheng
    164
RyuZheng   68 天前
@zhenjiachen # 159 我也是 CNAME 到 github.io ,然后 DNS 那个选项卡里,显示的 Proxy Status 是 Proxied,SSL/TLS 选项卡里,我的 mode 选择的是 full,其他地方暂时没想到,你试试
razeen
    165
razeen   68 天前
github page 用 Cloudflare 的貌似不受影响。
maojy1989
    166
maojy1989   68 天前
e8AsCM
    167
e8AsCM   68 天前 via Android
西北电信没有出现任何问题
但是访问 GitHub 和 Pages 还是一如既往的慢,不挂代理想要打开页面需要加载三十秒甚至一分钟,太慢了
strongwong
    168
strongwong   68 天前
根据 qq 号下面 介绍的 138qb.cn 域名查到 →是广州名扬信息科技有限公司,这个公司貌似本身就是域名服务商?是他们员工搞得鬼?
https://imgchr.com/i/GpQqKO
https://imgchr.com/i/Gplaz6
codevvvv9
    169
codevvvv9   68 天前
@hshpy 我把两个解析删除了,还是不行……
desmondlau
    170
desmondlau   68 天前
@jhdsgfww 济南联通复现,济南移动好像也 8 行(双宽带)
codevvvv9
    171
codevvvv9   68 天前
@hshpy
192.30.252.154 ,
192.30.252.153 这两个解析有问题吗
honeyshine75
    172
honeyshine75   68 天前
怪不得刚刚打不开网页,河北联通复现
dndx
    173
dndx   68 天前
@razeen 这个 `traceroute` 不准的,因为 ICMP 并没有劫持。
razeen
    174
razeen   68 天前
@dndx 是的==
Yuannnnn
    175
Yuannnnn   68 天前
北京联通复现
1002xin
    176
1002xin   68 天前
北京联通,未复现,一切正常
Ljcbaby
    177
Ljcbaby   68 天前
金华电信复现
hshpy
    178
hshpy   68 天前
@codevvvv9 你换成上面那 4 个 IP 中的一个。
rioshikelong121
    179
rioshikelong121   68 天前
不说复不复现了。。我比较疑惑的是,这种事情后续应该谁来处理?
villivateur
    180
villivateur   68 天前
江苏电信,江苏移动,你们说的域名我这里都打不开,连接超时
sholmesian
    181
sholmesian   68 天前   ❤️ 1
用 TCP: mtr -z -b -T -P 443 z.github.io

My traceroute [v0.87]
home-pi (0.0.0.0) Thu Mar 26 17:50:51 2020
Keys: Help Display mode Restart statistics Order of fields quit
Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. AS??? XiaoQiang (172.16.88.254) 0.0% 245 2.0 1.5 0.9 42.4 3.7
2. AS??? 172.16.86.254 0.0% 245 1.3 1.7 1.0 61.9 5.2
………
AS4134 117.21.173.181
AS4134 117.21.173.185
6. AS4134 202.97.82.117 0.0% 244 17.2 23.7 15.2 66.1 7.3
AS4134 202.97.39.61
AS4134 202.97.82.121
AS4134 202.97.39.157
AS4134 202.97.82.125
AS4134 202.97.39.161
AS4134 202.97.39.209
AS4134 202.97.55.133
7. AS54113 185.199.110.153 40.7% 244 150.6 233.3 64.8 3254. 502.1
AS4134 202.97.49.34



用 ICMP,mtr -z -b -P 443 z.github.io



My traceroute [v0.87]
home-pi (0.0.0.0) Thu Mar 26 17:58:46 2020
Resolver error: No error returned but no answers given. of fields quit
Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. AS??? XiaoQiang (172.16.88.254) 0.0% 174 0.7 1.0 0.6 37.3 2.7
2. AS??? 172.16.86.254 0.0% 174 0.9 0.9 0.8 22.3 1.6
……
6. AS4134 202.97.39.53 0.0% 173 27.7 29.1 24.7 68.1 8.6
7. AS4134 202.97.49.34 5.2% 173 53.3 52.7 49.7 82.9 4.4
8. AS4134 202.97.90.33 8.7% 173 51.9 51.8 49.7 54.2 0.9
9. AS2914 xe-1-0-4.r26.tokyjp05.jp.bb.gin.n 33.5% 173 231.5 223.1 202.1 324.7 14.8
10. AS2914 ae-1.r31.tokyjp05.jp.bb.gin.ntt.n 20.2% 173 216.0 228.2 209.8 238.9 5.5
11. AS2914 ae-3.r01.tokyjp08.jp.bb.gin.ntt.n 19.7% 173 230.3 279.2 216.9 3698. 338.5
12. AS2914 ae-1.fastly.tokyjp08.jp.bb.gin.nt 8.7% 173 300.7 317.0 277.0 2185. 171.0
13. AS54113 185.199.110.153 19.7% 173 211.3 259.5 198.2 4248. 376.9



这应该算是精准劫持了。
h503mc
    182
h503mc   68 天前
福建电信复现
outtime
    183
outtime   68 天前 via iPhone
有人扒信息出来了,qq 所有者叫张勇,黑龙江的
AII
    184
AII   68 天前
@strongwong 三大运营商全国范围内的故障哪个小公司员工能这么屌?
codevvvv9
    185
codevvvv9   68 天前
@hshpy 我加上 CF 套起来了,也把那些 ip 解析删除了,可还是被那个 qq 邮箱劫持到了,假证书……
codevvvv9
    186
codevvvv9   68 天前
@hshpy 我加上 CF 套起来了,也把那些 ip 解析删除了,可还是被那个 qq 邮箱劫持到了,假证书……
@hshpy 那四个不是有问题的吗,我换了更有问题啊
hooon
    187
hooon   68 天前
@codevvvv9 SSL/TLS 加密模式选择的是哪个?
codevvvv9
    188
codevvvv9   68 天前
@hshpy 我在 CF 官网查看速度那一项,报如下的错误:

我的网站 返回了状态 530 。请尝试以下选项来解决此问题。

1
查看您的源服务器与 Cloudflare 之间的配置,并确保源服务器成功解析请求

2
查看应用于您网站的任何现有防火墙规则,这些规则可能会阻止访问“已知自动程序”

3
请联系客户支持
@hooon
codevvvv9
    189
codevvvv9   68 天前
@hooon 我选择了完全啊
gawainid
    190
gawainid   68 天前
内蒙古 电信 复现
hooon
    191
hooon   68 天前
@codevvvv9 我一个站选择完全(严格)没问题。另外一个站选择完全(严格),提示 526 错误(证书都是腾讯云免费的),选择完全不开全局又打不开网站 :)
codevvvv9
    192
codevvvv9   68 天前
@hooon 我也选择的完全啊,但是宝 530 错误,现在还是被劫持着,没有用
alan0liang
    193
alan0liang   68 天前
@sholmesian 好像只有 443 端口劫持了,我试了 444 和 80 都没事走了一圈 ntt,只有 443 走到 as4808 (北京联通还不是骨干网)就停了
JankinAnn
    194
JankinAnn   68 天前 via Android
QQ 号主人我认识叫张勇溪畔家园小区的 我认识
d5
    195
d5   68 天前
@outtime 第一次遇见实名来干坏事的,住哪里叫什么成长轨迹都有,总感觉是个失误?
marquina
    196
marquina   68 天前
@JankinAnn 社工效率也太高了:-D
JankinAnn
    197
JankinAnn   68 天前 via Android
@JankinAnn 新中新公司的
xiangxihenli
    198
xiangxihenli   68 天前
北京联通复现,刷新了 DNS,走了代理就可以访问了
wwbfred
    199
wwbfred   68 天前
我这儿丢包率已经 80%以上了.
感觉不像是故意搞的,拿个这么破的服务器上线怎么感觉都不如直接封了强.
还是说在搞压力测试先试试水?
OfficialYoungX
    200
OfficialYoungX   68 天前
四川电信复现
1  2  3  4  
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3222 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 13:37 · PVG 21:37 · LAX 06:37 · JFK 09:37
♥ Do have faith in what you're doing.