疑似CommonName封锁

2013/06/20下午三点左右,中国大陆的用户访问境外使用StartSSL、Thawte等提供的免费SSL证书作为HTTP加密访问方式的IP地址疑似被中国国家网络防火墙屏蔽。

如果从国内路由跟踪(Tracert/routeract/mrt)到此次境外被屏蔽的IP地址,数据包会在目地IP机房路由的最后一跳被丢弃,而如果从被屏蔽的IP地址向国内发起路由跟踪,数据包则会在离开骨干网路由的位置被丢弃。

根据网友提供的表格(20130620ipblock),大量使用免费证书的IP地址遭到屏蔽,而购买的付费证书则无此现象。

此次屏蔽疑似通过检测SSL证书中的二级证书的CN字段,如StartSSL的:“CN = StartCom Class 1 Primary Intermediate Server CA”,若属于免费SSL证书范围内,则进行屏蔽。”

难怪这里所说的问题死在最后一跳。

发表评论?

1 条评论。

发表评论

注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

:wink: :twisted: :roll: :oops: :mrgreen: :lol: :idea: :evil: :cry: :arrow: :?: :-| :-x :-o :-P :-D :-? :) :( :!: 8-O 8)

Trackbacks and Pingbacks:

本文链接:https://twd2.me/archives/4226QrCode