V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
This topic created in 3041 days ago, the information mentioned may be changed or developed.
 |
1
tylinux Jan 3, 2018 via Android  5
锥子,斜技…
|
 |
2
xman99 Jan 3, 2018
请描述清楚, 是锤子, 不是锥子,哈哈哈
|
 |
3
linescape Jan 3, 2018
人压根没配,是你多加了 s 而已
|
 |
4
riggzh Jan 3, 2018
http t.tt 会跳 https://www.smartisan.com/
|
 |
5
f2f2f Jan 3, 2018
301 跳转的为啥还要给配 https ……
|
 |
7
twoyuan OP @linescape #3 配了的,Chrome 的报错是 net::ERR_CERT_COMMON_NAME_INVALID,证书信息可以看到是 *.smartisan.com 的
|
 |
8
davidyin Jan 3, 2018
这里显示的超时。没有跳转。
|
 |
9
q409195961 Jan 3, 2018
3L 正解
|
 |
10
wsly47 Jan 3, 2018 via iPhone
|
 |
11
forsam Jan 3, 2018
总想搞些大新闻
|
|
12
riggzh Jan 3, 2018
 因为证书校验在 301 跳转之前 |
 |
14
LeoNG Jan 3, 2018 1
锤子!! 科技!!
你想决战优酷吗! |
 |
15
Panic Jan 3, 2018
不够体面啊
|
 |
16
rrfeng Jan 3, 2018
说实话这些小细节真的不是每个人(运维)都能考虑到的。
|
 |
17
Phariel Jan 3, 2018
锥子斜技
 楼主是五笔玩家么???  |
 |
18
dangyuluo Jan 3, 2018
|
 |
20
realpg PRO 人家根本没开 https 服务 443 上跑的是 smartisan 的网站
|
 |
21
ouqihang Jan 3, 2018
楼主故意打错字,估计是想避免纠纷什么的,老罗可不好惹,V 站的贴又很容易搜到。
|
|
22
Phariel Jan 3, 2018 1
|
 |
23
scriptB0y Jan 3, 2018 2
@linescape @q409195961 t.tt 的 443 是开了的,只不过是 smartisan.com 的网站。这不叫“没配啊”
https://gist.github.com/laixintao/21771e85ddd5d06da932dd8e3a965be3 这个就是 443 握手成功,但是获得的证书里面不包含 t.tt 域名。这里要么给 t.tt 申请一个域名 https 要么证书换成多域名的加上 t.tt @f2f2f 301 也是 HTTP 的状态码,为什么 301 也要配 HTTPS 跳转,就和为什么要配 HTTPS 答案一样。想要安全,就用 TLS 建立连接了才拿到 301 状态码。 @realpg 说没开也不准确吧, 如果没开应该把 host 是 t.tt 的 443 端口请求直接关掉吧。 |
 |
24
logOo Jan 3, 2018
|
 |
25
wwqgtxx Jan 3, 2018 via iPhone
|
 |
26
xi2008wang Jan 3, 2018
200 万买的域名,证书都懒得买
|
|
27
scriptB0y Jan 3, 2018
@wwqgtxx cdn 也可以关闭 443 吧。我觉得“关闭来自 t.tt 的 443 ”比“把来自 t.tt 的 443 的请求转发到 www.smartisan.com 的 443 ”更合适一些吧? 虽然两者都是错误……
|
 |
28
Tinet Jan 3, 2018
五笔用户,而且应该上了年纪了,字都不记得怎么写了
|
|
29
wwqgtxx Jan 3, 2018 via iPhone
@scriptB0y 看来你是没配置过 cdn,一般 cdn 回源的时候不管你前台是 http 还是 https 后端都是走同一个协议回源真正的服务器(当然也可以配置成选择性回源),在访问 https://t.tt 的时候 403 只是因为访问 http://t.tt 的时候也是 403 到 https://www.smartisan.com/仅此而已,人家维护人员都懒得给 t.tt 配置个证书还指望人家专门加个配置把 t.tt 的 https 访问关掉?多此一举
|
|
30
wwqgtxx Jan 3, 2018 via iPhone
@scriptB0y 而且你去手动 nslookup 一下就知道 t.tt 和 www.smartisan.com 是解析到同一个 cdn 的,直接把 t.tt 的 443 端口关了,你让 https://www.smartisan.com/ 怎么访问
|
|
33
wwqgtxx Jan 3, 2018 via iPhone
@liuxu623 虽然在 nginx 或者其他服务器配置中的确可以关闭指定 host 的 https 的访问,但是有那个功夫干嘛不配置个 https 证书,不就是运维啥都没配置而已么…
|
 |
34
liuxu623 Jan 3, 2018 via Android
|
|
36
wwqgtxx Jan 3, 2018
|
|
37
liuxu623 Jan 3, 2018 via Android
|
|
39
wwqgtxx Jan 3, 2018 via iPhone
质量->智商
|
|
40
liuxu623 Jan 3, 2018 via Android
|
|
41
wwqgtxx Jan 3, 2018 via iPhone
|
|
42
liuxu623 Jan 3, 2018 via Android
|
|
43
wwqgtxx Jan 3, 2018
|
 |
45
lyhiving Jan 3, 2018 via Android
一些浏览器会一 s 到底,所以锤子申请个免费的换上去就可以了。都散了吧
|
 |
46
banro512 Jan 3, 2018 via Android
打起来了
哈哈 |
 |
47
server Jan 3, 2018
锥子斜技
|
 |
48
tylerdurden Jan 3, 2018
好像问题已经解决了?
|
|
49
scriptB0y Jan 3, 2018
@tylerdurden 是的已经解决了,证书没问题了。
curl -Iv https://t.tt * Rebuilt URL to: https://t.tt/ * Trying 140.143.179.117... * TCP_NODELAY set * Connected to t.tt (140.143.179.117) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS handshake, Server key exchange (12): * TLSv1.2 (IN), TLS handshake, Server finished (14): * TLSv1.2 (OUT), TLS handshake, Client key exchange (16): * TLSv1.2 (OUT), TLS change cipher, Client hello (1): * TLSv1.2 (OUT), TLS handshake, Finished (20): * TLSv1.2 (IN), TLS change cipher, Client hello (1): * TLSv1.2 (IN), TLS handshake, Finished (20): * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use http/1.1 * Server certificate: * subject: C=CN; ST=BeiJing; L=BeiJing; O=Smartisan Technology Co.,LTD.; OU=IT Dept; CN=www.t.tt * start date: Aug 24 00:00:00 2016 GMT * expire date: Aug 24 23:59:59 2019 GMT * subjectAltName: host "t.tt" matched cert's "t.tt" * issuer: C=US; O=GeoTrust Inc.; CN=GeoTrust SSL CA - G3 * SSL certificate verify ok. > HEAD / HTTP/1.1 > Host: t.tt > User-Agent: curl/7.54.0 > Accept: */* > < HTTP/1.1 301 Moved Permanently HTTP/1.1 301 Moved Permanently < Date: Wed, 03 Jan 2018 06:21:01 GMT Date: Wed, 03 Jan 2018 06:21:01 GMT < Content-Type: text/html Content-Type: text/html < Content-Length: 178 Content-Length: 178 < Connection: keep-alive Connection: keep-alive < Location: https://www.smartisan.com Location: https://www.smartisan.com < Server: ARTWS/1.0 Server: ARTWS/1.0 < X-XSS-Protection: 1;mode=block X-XSS-Protection: 1;mode=block < * Connection #0 to host t.tt left intact |
|
50
tylerdurden Jan 3, 2018
issue closed,next !
|
 |
51
dobelee Jan 3, 2018
锥子斜技...笑尿了。。。
|
 |
52
jason19659 Jan 3, 2018
66666
|
 |
53
Terry05 Jan 3, 2018
不怕老罗找你上优酷吗?
|
|
54
twoyuan OP |
 |
55
salmon5 Jan 3, 2018
openssl s_client -connect t.tt:443 2>&1 | openssl x509 -text |grep -A1 "Subject Alternative Name"
X509v3 Subject Alternative Name: DNS:static.smartisanos.cn, DNS:dl2.smartisan.cn, DNS:www.t.tt, DNS:t.tt 这个还是有必要的,这就是一个运维的情怀,不是 60 分就行了,90-100 分才行。 HSTS 也是必要的。 |
 |
57
msg7086 Jan 4, 2018
看到有人说 IP 上的端口可以根据 host 选择性关闭我就笑了。v2 大了什么智商的鸟都来了。
|
Select Language