V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
BSD
V2EX  ›  互联网

湖南移动主动给知乎做了个免费的 CDN,我困惑的是, ssl 证书是怎么解决的呢?

  •  
  •   BSD · 2016-07-24 21:20:29 +08:00 · 3940 次点击
    这是一个创建于 3079 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我用的是湖南移动宽带, dig www.zhihu.com +trace 时中途就断了,得不到正确结果,去掉+trace 后,能得到 A 记录指向: 111.23.9.44 ,长沙移动的 ip ,很显然,这并不知乎自己花钱买的 CDN ,而是移动强行免费替知乎搞的缓存,那么这种情况下,我 https 访问知乎时, ssl 证书在技术上是怎么搞的?证书指纹为“‎ e2 a8 41 8e 1f 47 6c 85 50 11 f8 5c 94 be bd f6 fc b4 a2 21 ”,从路径来看,应该是合法的知乎证书,而且 Chrome 认为证书是可靠的。

    13 条回复    2016-07-25 06:48:14 +08:00
    cmxz
        1
    cmxz  
       2016-07-24 22:04:21 +08:00 via Android   ❤️ 1
    他们的服务器在 443 端口上相当路由器。在 80 上是缓存服务器。
    ps :你可以在 hosts 中把 www.taobao.com 指向这个 ip ,也是可以正常访问的。因为他们的服务没对 https 的请求做任何判断直接转发了
    cmxz
        2
    cmxz  
       2016-07-24 22:05:29 +08:00 via Android   ❤️ 1
    各省移动基本都有这种 ip 。另外香港盈科电讯也有两个 IP 是干这个的
    BSD
        3
    BSD  
    OP
       2016-07-24 22:12:13 +08:00
    @cmxz 啊?真的么?那这样有什么必要呢?方便做流量穿透?但直接 NAT 也可以做到呀,我看这么做的目的,还是蛮可疑的。。。。
    tobyxdd
        4
    tobyxdd  
       2016-07-24 22:14:51 +08:00   ❤️ 1
    @BSD 目的就是你访问 80 的普通 http 时候可以缓存啊
    cmxz
        5
    cmxz  
       2016-07-24 22:25:33 +08:00 via Android
    @BSD 因为他们进行了 DNS 劫持,然后在 80 端口做了 http 缓存,为了不影响用户正常访问 443 端口,所以才对 443 端口的请求直接转发
    New2016
        6
    New2016  
       2016-07-24 22:28:39 +08:00
    移动为了节省网间流量结算费
    BSD
        7
    BSD  
    OP
       2016-07-24 22:50:43 +08:00
    @tobyxdd 知乎是全网强制 https 的,如果不搞 ssl 中间人攻击,几乎没有什么必要。
    tobyxdd
        8
    tobyxdd  
       2016-07-24 22:56:06 +08:00
    @BSD 他们又不只针对知乎 他们又不知道知乎是不是 https
    est
        9
    est  
       2016-07-24 23:00:09 +08:00
    把 sni 去掉试试
    v1024
        10
    v1024  
       2016-07-24 23:04:14 +08:00 via iPhone   ❤️ 2
    听说过 SNIProxy 吗?
    jhaohai
        11
    jhaohai  
       2016-07-24 23:07:08 +08:00 via iPhone
    直接流量转发的吧
    BSD
        12
    BSD  
    OP
       2016-07-24 23:35:06 +08:00
    @v1024
    哦,原来这样呀:
    Features

    Name-based proxying of HTTPS without decrypting traffic. No keys or certificates required.
    Supports both TLS and HTTP protocols.
    Supports IPv4, IPv6 and Unix domain sockets for both back end servers and listeners.
    Supports multiple listening sockets per instance.
    ZE3kr
        13
    ZE3kr  
       2016-07-25 06:48:14 +08:00 via iPhone
    这是基于第七层的么?如果是的话那么知乎收集到的访客 IP 难道不也是错的了么。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   998 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:24 · PVG 07:24 · LAX 15:24 · JFK 18:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.