2013/06/20下午三点左右,中国大陆的用户访问境外使用StartSSL、Thawte等提供的免费SSL证书作为HTTP加密访问方式的IP地址疑似被中国国家网络防火墙屏蔽。
如果从国内路由跟踪(Tracert/routeract/mrt)到此次境外被屏蔽的IP地址,数据包会在目地IP机房路由的最后一跳被丢弃,而如果从被屏蔽的IP地址向国内发起路由跟踪,数据包则会在离开骨干网路由的位置被丢弃。
根据网友提供的表格(20130620ipblock),大量使用免费证书的IP地址遭到屏蔽,而购买的付费证书则无此现象。
此次屏蔽疑似通过检测SSL证书中的二级证书的CN字段,如StartSSL的:“CN = StartCom Class 1 Primary Intermediate Server CA”,若属于免费SSL证书范围内,则进行屏蔽。”
难怪这里所说的问题死在最后一跳。
1 条评论。