首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
twoyuan
V2EX  ›  全球工单系统

有锥子斜技的人?你们的 https://t.tt 证书配错了……

  •  
  •   twoyuan · 2018-01-03 09:19:44 +08:00 · 8864 次点击
    这是一个创建于 756 天前的主题,其中的信息可能已经有所发展或是发生改变。
    58 回复  |  直到 2018-01-04 10:17:01 +08:00
    tylinux
        1
    tylinux   2018-01-03 09:27:41 +08:00 via Android   ♥ 5
    锥子,斜技…
    xman99
        2
    xman99   2018-01-03 09:27:55 +08:00
    请描述清楚, 是锤子, 不是锥子,哈哈哈
    linescape
        3
    linescape   2018-01-03 09:28:24 +08:00
    人压根没配,是你多加了 s 而已
    riggzh
        4
    riggzh   2018-01-03 09:29:04 +08:00
    f2f2f
        5
    f2f2f   2018-01-03 09:29:30 +08:00
    301 跳转的为啥还要给配 https ……
    riggzh
        6
    riggzh   2018-01-03 09:29:31 +08:00
    @linescape 我也是这么想的-。-
    twoyuan
        7
    twoyuan   2018-01-03 09:30:16 +08:00
    @linescape #3 配了的,Chrome 的报错是 net::ERR_CERT_COMMON_NAME_INVALID,证书信息可以看到是 *.smartisan.com 的
    davidyin
        8
    davidyin   2018-01-03 09:35:40 +08:00
    这里显示的超时。没有跳转。
    q409195961
        9
    q409195961   2018-01-03 09:36:46 +08:00
    3L 正解
    wsly47
        10
    wsly47   2018-01-03 09:40:21 +08:00 via iPhone
    forsam
        11
    forsam   2018-01-03 09:43:01 +08:00
    总想搞些大新闻
    riggzh
        12
    riggzh   2018-01-03 09:45:05 +08:00


    因为证书校验在 301 跳转之前
    Funian
        13
    Funian   2018-01-03 09:46:37 +08:00
    t.tt 直接到锤子网站
    LeoNG
        14
    LeoNG   2018-01-03 09:46:38 +08:00   ♥ 1
    锤子!! 科技!!

    你想决战优酷吗!
    Panic
        15
    Panic   2018-01-03 09:51:34 +08:00
    不够体面啊
    rrfeng
        16
    rrfeng   2018-01-03 10:08:11 +08:00
    说实话这些小细节真的不是每个人(运维)都能考虑到的。
    Phariel
        17
    Phariel   2018-01-03 10:11:42 +08:00
    锥子斜技

    楼主是五笔玩家么???
    dangyuluo
        18
    dangyuluo   2018-01-03 10:17:09 +08:00
    人家是 t.tt 跳转到 smartisan.com 然后做了个通配符域名。t.tt 只负责跳转,人家没上 https 的
    Hozzz
        19
    Hozzz   2018-01-03 10:29:38 +08:00
    @Phariel 你这个滑稽怎么弄的?
    realpg
        20
    realpg   2018-01-03 10:31:19 +08:00
    人家根本没开 https 服务 443 上跑的是 smartisan 的网站
    ouqihang
        21
    ouqihang   2018-01-03 10:39:10 +08:00
    楼主故意打错字,估计是想避免纠纷什么的,老罗可不好惹,V 站的贴又很容易搜到。
    scriptB0y
        23
    scriptB0y   2018-01-03 10:45:14 +08:00   ♥ 2
    @linescape @q409195961 t.tt 的 443 是开了的,只不过是 smartisan.com 的网站。这不叫“没配啊”



    这个就是 443 握手成功,但是获得的证书里面不包含 t.tt 域名。这里要么给 t.tt 申请一个域名 https 要么证书换成多域名的加上 t.tt

    @f2f2f 301 也是 HTTP 的状态码,为什么 301 也要配 HTTPS 跳转,就和为什么要配 HTTPS 答案一样。想要安全,就用 TLS 建立连接了才拿到 301 状态码。

    @realpg 说没开也不准确吧, 如果没开应该把 host 是 t.tt 的 443 端口请求直接关掉吧。
    logOo
        24
    logOo   2018-01-03 10:51:31 +08:00
    wwqgtxx
        25
    wwqgtxx   2018-01-03 10:54:14 +08:00 via iPhone
    @scriptB0y 很多网站最前端是 cdn,只不过没在 cdn 节点上配置 t.tt 的证书而已,至于没开为什么不直接把 host 是 t.tt 的 443 请求关闭,那是因为完全没这个必要多此一举罢了
    xi2008wang
        26
    xi2008wang   2018-01-03 10:56:26 +08:00
    200 万买的域名,证书都懒得买
    scriptB0y
        27
    scriptB0y   2018-01-03 11:01:56 +08:00
    @wwqgtxx cdn 也可以关闭 443 吧。我觉得“关闭来自 t.tt 的 443 ”比“把来自 t.tt 的 443 的请求转发到 www.smartisan.com 的 443 ”更合适一些吧? 虽然两者都是错误……
    Tinet
        28
    Tinet   2018-01-03 11:04:06 +08:00
    五笔用户,而且应该上了年纪了,字都不记得怎么写了
    wwqgtxx
        29
    wwqgtxx   2018-01-03 11:59:12 +08:00 via iPhone
    @scriptB0y 看来你是没配置过 cdn,一般 cdn 回源的时候不管你前台是 http 还是 https 后端都是走同一个协议回源真正的服务器(当然也可以配置成选择性回源),在访问 https://t.tt 的时候 403 只是因为访问 http://t.tt 的时候也是 403 到 https://www.smartisan.com/仅此而已,人家维护人员都懒得给 t.tt 配置个证书还指望人家专门加个配置把 t.tt 的 https 访问关掉?多此一举
    wwqgtxx
        30
    wwqgtxx   2018-01-03 12:01:09 +08:00 via iPhone
    @scriptB0y 而且你去手动 nslookup 一下就知道 t.ttwww.smartisan.com 是解析到同一个 cdn 的,直接把 t.tt 的 443 端口关了,你让 https://www.smartisan.com/ 怎么访问
    liuxu623
        31
    liuxu623   2018-01-03 12:07:58 +08:00 via Android
    @wwqgtxx 匹配 host 啊,不是运维或者没有相关经验就别乱回复了啊…
    wwqgtxx
        32
    wwqgtxx   2018-01-03 12:08:42 +08:00 via iPhone
    @liuxu623 重点是为什么要多此一举
    wwqgtxx
        33
    wwqgtxx   2018-01-03 12:11:07 +08:00 via iPhone
    @liuxu623 虽然在 nginx 或者其他服务器配置中的确可以关闭指定 host 的 https 的访问,但是有那个功夫干嘛不配置个 https 证书,不就是运维啥都没配置而已么…
    liuxu623
        34
    liuxu623   2018-01-03 12:12:17 +08:00 via Android
    @wwqgtxx 不配正确的证书,你完全可以劫持 t.tt 的 dns 然后放个假证书,再跳转到自己的网站,用户是不能分辨的,因为两个证书都是不正确的,没有相关经验就别回复了…
    Liang
        35
    Liang   2018-01-03 12:20:00 +08:00
    想当年帮朋友修电脑把 baidu.com 改成了自己的搜索引擎。。。
    wwqgtxx
        36
    wwqgtxx   2018-01-03 12:24:35 +08:00
    @liuxu623 核心只是在于人家运维只配置了 http 部分,https 部分只不过沿用了他们服务器上的默认配置而已,你“劫持 t.tt 的 dns 然后放个假证书,再跳转到自己的网站”不还是多此一举,t.tt 的所有权本来就是锤子的,干嘛不配置个合法证书更一劳永逸,而且人家主站的证书是合法的,别没事炫耀你的奇葩经验,谁会干这种吃力不讨好的事,又不是运营商劫持,天天想着这种歪门邪道
    liuxu623
        37
    liuxu623   2018-01-03 12:26:30 +08:00 via Android
    @wwqgtxx 你这个智商就不要回复了,我第一条回复只是告诉你怎么关闭 t.tt 的 https 访问,并没有说这样做是合理的
    wwqgtxx
        38
    wwqgtxx   2018-01-03 12:27:54 +08:00 via iPhone
    @liuxu623 那么用你的质量告诉我为什么要这么干
    wwqgtxx
        39
    wwqgtxx   2018-01-03 12:28:22 +08:00 via iPhone
    质量->智商
    liuxu623
        40
    liuxu623   2018-01-03 12:29:56 +08:00 via Android
    @wwqgtxx 不应该这么干和不能这么干是两个概念,我第一条回复是反驳你说不能单独关闭 t.tt 的 https 访问,你这个智商就不要回复了好吗?
    wwqgtxx
        41
    wwqgtxx   2018-01-03 12:30:23 +08:00 via iPhone
    我从来没说过不能只关闭 t.tt 的 https 访问,我只是说不能粗暴的关闭 cdn 上的 443 端口,麻烦你老人家看仔细
    @liuxu623
    liuxu623
        42
    liuxu623   2018-01-03 12:32:09 +08:00 via Android
    @wwqgtxx 人家就说关闭 t.tt 的 443,到你这就变成关闭那台服务器的 443 端口,正常人都是理解为关闭 t.tt 的 https 访问,发现自己回复错了又赶紧百度了一发吧,这个智商…
    wwqgtxx
        43
    wwqgtxx   2018-01-03 12:35:36 +08:00
    @liuxu623 关闭 443 端口和关闭 https 访问正常人怎么就理解从同一个意思了,您老这语文真的及格了么。而且就这个问题而言,关闭 t.tt 的 https 有意义么
    wwqgtxx
        44
    wwqgtxx   2018-01-03 12:37:33 +08:00
    而且别一句两句的就说别人的智商,仿佛你是天下第一似的,那么你就靠你强大的智商帮人家 t.tt 把问题解决了呀
    @liuxu623
    lyhiving
        45
    lyhiving   2018-01-03 12:48:36 +08:00 via Android
    一些浏览器会一 s 到底,所以锤子申请个免费的换上去就可以了。都散了吧
    banro512
        46
    banro512   2018-01-03 13:27:37 +08:00 via Android
    打起来了
    哈哈
    server
        47
    server   2018-01-03 13:56:29 +08:00
    锥子斜技
    tylerdurden
        48
    tylerdurden   2018-01-03 14:18:54 +08:00
    好像问题已经解决了?
    scriptB0y
        49
    scriptB0y   2018-01-03 14:21:50 +08:00
    @tylerdurden 是的已经解决了,证书没问题了。

    curl -Iv https://t.tt
    * Rebuilt URL to: https://t.tt/
    * Trying 140.143.179.117...
    * TCP_NODELAY set
    * Connected to t.tt (140.143.179.117) port 443 (#0)
    * ALPN, offering h2
    * ALPN, offering http/1.1
    * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
    * successfully set certificate verify locations:
    * CAfile: /etc/ssl/cert.pem
    CApath: none
    * TLSv1.2 (OUT), TLS handshake, Client hello (1):
    * TLSv1.2 (IN), TLS handshake, Server hello (2):
    * TLSv1.2 (IN), TLS handshake, Certificate (11):
    * TLSv1.2 (IN), TLS handshake, Server key exchange (12):
    * TLSv1.2 (IN), TLS handshake, Server finished (14):
    * TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
    * TLSv1.2 (OUT), TLS change cipher, Client hello (1):
    * TLSv1.2 (OUT), TLS handshake, Finished (20):
    * TLSv1.2 (IN), TLS change cipher, Client hello (1):
    * TLSv1.2 (IN), TLS handshake, Finished (20):
    * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
    * ALPN, server accepted to use http/1.1
    * Server certificate:
    * subject: C=CN; ST=BeiJing; L=BeiJing; O=Smartisan Technology Co.,LTD.; OU=IT Dept; CN=www.t.tt
    * start date: Aug 24 00:00:00 2016 GMT
    * expire date: Aug 24 23:59:59 2019 GMT
    * subjectAltName: host "t.tt" matched cert's "t.tt"
    * issuer: C=US; O=GeoTrust Inc.; CN=GeoTrust SSL CA - G3
    * SSL certificate verify ok.
    > HEAD / HTTP/1.1
    > Host: t.tt
    > User-Agent: curl/7.54.0
    > Accept: */*
    >
    < HTTP/1.1 301 Moved Permanently
    HTTP/1.1 301 Moved Permanently
    < Date: Wed, 03 Jan 2018 06:21:01 GMT
    Date: Wed, 03 Jan 2018 06:21:01 GMT
    < Content-Type: text/html
    Content-Type: text/html
    < Content-Length: 178
    Content-Length: 178
    < Connection: keep-alive
    Connection: keep-alive
    < Location: https://www.smartisan.com
    Location: https://www.smartisan.com
    < Server: ARTWS/1.0
    Server: ARTWS/1.0
    < X-XSS-Protection: 1;mode=block
    X-XSS-Protection: 1;mode=block

    <
    * Connection #0 to host t.tt left intact
    tylerdurden
        50
    tylerdurden   2018-01-03 14:32:02 +08:00
    issue closed,next !
    dobelee
        51
    dobelee   2018-01-03 14:33:38 +08:00
    锥子斜技...笑尿了。。。
    jason19659
        52
    jason19659   2018-01-03 17:39:59 +08:00
    66666
    Terry05
        53
    Terry05   2018-01-03 17:43:25 +08:00
    不怕老罗找你上优酷吗?
    twoyuan
        54
    twoyuan   2018-01-03 17:44:10 +08:00
    @tylinux #1
    @xman99 #2
    @LeoNG #14
    @Phariel #17
    @ouqihang #21
    @Tinet #28
    @server #47
    @dobelee #51

    这真不是我起的啊……你们大概不认识一个叫方迟的设计师 🌚

    https://www.zhihu.com/people/jordanfc
    salmon5
        55
    salmon5   2018-01-03 18:24:16 +08:00
    openssl s_client -connect t.tt:443 2>&1 | openssl x509 -text |grep -A1 "Subject Alternative Name"
    X509v3 Subject Alternative Name:
    DNS:static.smartisanos.cn, DNS:dl2.smartisan.cn, DNS:www.t.tt, DNS:t.tt


    这个还是有必要的,这就是一个运维的情怀,不是 60 分就行了,90-100 分才行。
    HSTS 也是必要的。
    Phariel
        56
    Phariel   2018-01-03 18:51:02 +08:00
    @twoyuan #54 哈哈哈哈哈哈,跪了
    msg7086
        57
    msg7086   2018-01-04 03:24:06 +08:00
    看到有人说 IP 上的端口可以根据 host 选择性关闭我就笑了。v2 大了什么智商的鸟都来了。
    Tinet
        58
    Tinet   2018-01-04 10:17:01 +08:00
    @twoyuan 哈哈哈哈哈哈
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2351 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 46ms · UTC 10:55 · PVG 18:55 · LAX 02:55 · JFK 05:55
    ♥ Do have faith in what you're doing.