у вас с гуглом все нормально?

Troyn09

у меня второй день идет разная ругань на ssl, броузеры разные

При соединении с www.google.com произошла ошибка. OCSP-сервер сообщает, что у него произошла внутренняя ошибка. (Код ошибки: sec_error_ocsp_server_error)

www.youtube.com has asked Yandex to block any certificates with errors, but the certificate that Yandex received during this connection attempt has an error.
Error type: HSTS failure
Subject: 173.194.71.199

ip резолвится в странный адрес lb-in-f199.1e100.net

artimon

У тебя часы правильно идут?

Troyn09

да

artimon

Ось?

Troyn09

w7x64

carusya

ip резолвится в странный адрес lb-in-f199.1e100.net

DPI провайдера?

Troyn09

# ping youtube.com
PING youtube.com (173.194.32.165): 56 data bytes
64 bytes from 173.194.32.165: seq=0 ttl=54 time=3.298 ms
# openssl s_client -host 173.194.32.165 -port 443
CONNECTED(00000003)
write:errno=110
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 210 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

carusya

ip резолвится в странный адрес lb-in-f199.1e100.net

What is 1e100.net?
1e100.net is a Google-owned domain name used to identify the servers in our network.
Following standard industry practice, we make sure each IP address has a corresponding hostname. In October 2009, we started using a single domain name to identify our servers across all Google products, rather than use different product domains such as youtube.com, blogger.com, and google.com. We did this for two reasons: first, to keep things simpler, and second, to proactively improve security by protecting against potential threats such as cross-site scripting attacks.
Most typical Internet users will never see 1e100.net, but we picked a Googley name for it just in case (1e100 is scientific notation for 1 googol).

Troyn09

бида, бида, огорчение - провайдер мутит
# openssl s_client -host google.com -port 443
CONNECTED(00000003)
depth=1 C = RU, ST = Moscow, L = Moscow, O = cifra1
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/CN=173.194.32.168
i:/C=RU/ST=Moscow/L=Moscow/O=cifra1
1 s:/C=RU/ST=Moscow/L=Moscow/O=cifra1
i:/C=RU/ST=Moscow/L=Moscow/O=cifra1
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/CN=173.194.32.168
issuer=/C=RU/ST=Moscow/L=Moscow/O=cifra1
---
No client certificate CA names sent
---
SSL handshake has read 1392 bytes and written 408 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 694653311571C9624EEA090A6C1CEF1BC57584B7BC0468C2F9533EA613A16436
Session-ID-ctx:
Master-Key: DEC4B5A459C317044B84FB7BC377BEA7F16FF7CCD60F0B3778AC4333F0AA953793949520CCEF9240F3B2E704323A1E7A
Key-Arg : None
PSK identity: None
PSK identity hint: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 1c e7 54 a2 08 75 74 33-45 a5 70 fb 36 6f db cd ..T..ut3E.p.6o..
0010 - 22 c5 fb 3a d5 2f 32 00-7d 1f ab f8 4f db 01 71 "..:./2.}...O..q
0020 - 97 a5 8a a6 71 f1 63 b3-10 77 44 34 d9 74 9a 8e ....q.c..wD4.t..
0030 - 54 4b ef 08 e3 f0 57 0e-9c 55 1b c4 72 b3 08 3e TK....W..U..r..>
0040 - e6 63 87 37 35 c9 1c a9-a9 f6 78 ba 23 94 af f8 .c.75.....x.#...
0050 - 7a 4b 41 cc 35 94 51 bf-4c 96 e4 25 9e 79 2c ab zKA.5.Q.L..%.y,.
0060 - af 45 63 51 74 76 3d cc-7c b9 ee 89 6d 31 2d 63 .EcQtv=.|...m1-c
0070 - 2e 07 6e b9 99 1d 1e 84-0d eb 34 f6 19 76 88 a0 ..n.......4..v..
0080 - a6 e4 34 bd e9 c8 89 40-4b 74 aa be e3 97 88 7f ..4....@Kt......
0090 - 28 ee 08 31 de 05 98 54-d5 e6 5f f4 ca e2 ca db (..1...T.._.....
Start Time: 1397815835
Timeout : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
---

carusya

cifra1

Те ещё бл*ди (с)
Не в Подольске живёшь?

Troyn09

не, мск
номера техподдержки просто сбрасывают звонок, пробился через общий для всех номер
- проблема у нас, решим к понедельнику или если повезет вечером, оповестить о устранении проблем не можем
прелестно

carusya

У меня на точке, подключенной через этого прова, гугл ОК через https открывается, а вот ютуб ругается на подменённый сертификат.

tokuchu

бида, бида, огорчение - провайдер мутит

Это у них такая фильтрация запрещённых ресурсов. Адреса на проксю заворачивают, а там фильтруют уже URL-ы запрещённые. Но с SSL такая хрень не проходит, конечно.

Troyn09

пока только с разными гугловыми сайтами такая тема

tokuchu

пока только с разными гугловыми сайтами такая тема

Так не все адреса заворачивают, а только те, которые "покрываются" запрещёнными доменами и url-ами.

Troyn09

пора видимо vpn или vps сделать себе

tokuchu

пора видимо vpn или vps сделать себе

Да уж, жесть полная. Всем было понятно, что будет такая херня и технически невозможно такое фильтровать.

Troyn09

только ведь куча всего поломается, тот же стим или бнет

viktor954

У нас один клиент через Цыфру1 работает — сейчас недоступен снаружи, но при этом в офисе у них и-нет есть.
Ппц.
А вот так вот сейчас выглядит трассировка до cifra1.ru

tracert cifra1.ru
Tracing route to cifra1.ru [87.244.8.2]
over a maximum of 30 hops:
1 20 ms 23 ms 17 ms YYYYYYYYYYYYYYYYYY
2 38 ms 11 ms 3 ms XXXXXXXXXXXXXXXXX
3 129 ms 219 ms 213 ms ge-msk-iki-r0.safetel.ru [193.104.248.249]
4 4 ms 3 ms 2 ms 81.95.136.21
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.

Troyn09

вот из их сети

# traceroute cifra1.ru
traceroute to cifra1.ru (87.244.8.2), 30 hops max, 38 byte packets
1 * * *
2 * * *
3 midgard.tor.asgard.digitonenet.com (81.25.61.33) 2.626 ms 1.847 ms 1.294 ms
4 * * *
5 87.244.8.5 (87.244.8.5) 19.703 ms 3.797 ms 4.134 ms
6 87.244.8.2 (87.244.8.2) 6.445 ms 4.510 ms 4.932 ms

Andbar

Да уж, жесть полная. Всем было понятно, что будет такая херня и технически невозможно такое фильтровать.

Вариант что провайдер тихонько купит себе сертификат с возможностью подписи других сертификатов и начнет клепать свою редакцию сертификатов для каждого из сайтом? Тогда сертификат будет выдаваться валидный... Придётся, правда, хранить сертификаты для всех доменов, т.к. на лету их каждый раз подписывать - слишком трудоёмкая задача.
Правда, если это обнаружат, то корневой сертификат могут тупо отозвать.

tokuchu

Вариант что провайдер тихонько купит себе сертификат с возможностью подписи других сертификатов и начнет клепать свою редакцию сертификатов для каждого из сайтом?

Тут тоже есть проблемы. Сейчас вроде как есть база данных выданных сертификатов, современные браузеры могут просечь засаду. Плюс, я где-то видел упоминания, что тот же Хром гугловские сертификаты как-то особенно обрабатывает.
Ну и хоть многие CA бляди ещё те и выдают подобные сертификаты некоторым. Но всё остаётся надеяться, что тут они такой хернёй заниматься не станут, т.к. это надо всем провайдерам такое выдавать что ли, а это фактически будет означать, что сертификаты данного CA не лучше самоподписанных и не быть им CA больше.