论 SSL 有用吗? HTTPS(RapidSSL SHA256 CA - G3)了为何还是被电信劫持?

2015-11-11 18:20:22 +08:00
 oldcai

事情是这样的

以前在深圳的时候,经常打开 V2EX 都会变成一整张某信广告,

现在这个项目因为 BOSS 对用户的隐私和安全性要求很高,产品网站是使用的是收费的 SSL 证书的 https ,我想这样也可以防止一些运营商插广告的行为,是很赞的一件事。

however ,有一个可♀爱的男同事,他发现我们官网总是被劫持,地点也是深圳。

如图:

图 1 : 被劫持后

这个症状和这篇帖子里面 @chinaglwo 描述的一样。

然后我观察了一下我们的证书对比

图 2 : 我的大约没被劫持的情况下的

图 3 : 可♀爱的男同事的浏览器被劫持的情况下的(快看可♀爱的收藏夹)

此网站的身份已通过了 RapidSSL SHA256 CA - G3 的验证。服务器未提供任何 Certificate Transparency 信息。

然而说好的担保金是真的吗

图 4 : 10,000 刀担保金的广告

忽然想到购买 SSL 证书的时候,有担保金这件事,所以也想来 V2EX 算一卦, HTTPS 了还是被劫持,拿不拿得到保险金呢?

附:忽然发现 @朱一君的微博图床(最新版)不能上传了,图床用的 imgur ,所以如果看不到图,方便的话,希望可以随手翻一下墙才可以看到。

10171 次点击
所在节点    问与答
65 条回复
sixbyte
2015-11-12 09:52:21 +08:00
能看看 response 的 body 内容吗?是不是真的有这么一段劫持代码
qihboy
2015-11-12 11:45:02 +08:00
深圳电信用户 MAC+CRHOME+ABP 访问表示未看到劫持, ABP 报告 0
Felldeadbird
2015-11-12 13:50:17 +08:00
看来除了纯 SSL ,还得验证引入资源是否 SSL 。太可怕了。电信运营商真的奸诈,无所不用其极。犯罪成本低,执法力度差,让他们成了犯罪的温床。
referblue
2015-11-12 18:06:31 +08:00
就一个网页需要挂 CDN 么,囧, rapidssl 连企业版 SSL 都没有的
chinaglwo
2015-11-17 03:13:58 +08:00
@oldcai
我觉得不会是电脑本身的问题,因为两点:
1 、我电脑双系统, win7+ubuntu ,只有 win7 下的 chrome 会出现异常, ubuntu 下的 chrome 没问题。于是我在 win7 和 ubuntu 下分别安装 vitualbox 虚拟机,在虚拟机里分别安装了新 win7 ,下载 chrome ,没安装任何插件,访问几十个网页就会出现异常。
2 、如果说是我的 win7 iso 有问题,那后来我给 chrome 安装了一个插件叫 user-agent switcher ,改 ua 为"chrome on Mac",到现在一个月了,再也没出现异常了,在这期间我也把 ua 换成“ chrome on windows ”,很快就会异常,随便浏览不同网站的网页,大概几十个就会遇到几个异常。注意,访问基本任何网站都会出现, sina 、 sohu 、 csdn 、 51cto ,都出现过。而且基本上是第一次访问某个网站时出现。

另外,还怀疑一点是电信的光猫默认是允许电信的工作人员远程连接用来维护的,据说可以下发什么内容,那这就不知道会不会在搞鬼,我现在把光猫的 TR069 协议禁用了。

以上说的都是 http 。 https 的站点至今没遇到过异常,不过 https 站点毕竟相对来说还少。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/235422

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX