哪怕我什么也没做,达摩克利斯之剑还是落下了。
2023-12-09 编辑:该问题似乎已经解决。
最近我发现我的域名 (dsstudio.tech) 在河南突然无法访问了。刚好这个时间点和证书过期的时间重合,所以我先连上了所有服务器更新了证书。但是证书更新完还是没法访问,原因是连接被重置。
我寻思着难不成我把我自己给拦截了?登上 CloudFlare 看拦截记录也并没有关于我的浏览器的信息。看了服务器的访问日志,也没有对应的拦截信息。看了各个云的防火墙配置,也没有特殊的内容。好玩的是在科学上网的情况下,我的站点是可以正常访问的。
到这一步我就不得不开始怀疑是有一些东西在给我使绊子。先从 DNS 记录开始排查。查了一圈下来,DNS 结果是正确的。Wireshark 抓包显示了典型的 SNI 阻断操作:
看来即使网站域名有备案,毫无说明地无法访问也是迟早的事情。同时我们也进一步验证了这套系统也是按区域有不同的配置的。我不知道这是哪个地方抽了风干翻了我这块网络自留地,还是说河南省现在(2023 年 8 月)拒绝个人博客备案导致我在搞新的域名备案复审的时候炸翻了之前以博客身份备案的这个域名。但这种一声不吭地掐访问要不是我刚好造访河南我甚至不知道有这一茬!这找谁说理去?查询备案信息一切正常,查询黑名单也是没有信息。更有意思的是这个阻断是全频带干扰,不仅仅是二级域名,连三级域名也一起被阻断了。这么「高规格」的待遇,让我想起了微博的「刘伟楠」事件[1]。
事到如今,只能先试着搞一下公安网备,看能不能治一下这个抽风。暂时不打算联系工信部,毕竟除了河南的其他地方貌似还是能访问的,如果再问一下直接给这个域名送走那就太乐了。
今天(2023 年 9 月 18 日)接到了网安的电话,跟我说网站无法访问没法备案。我感到有些震惊,难道这回真的轮到我当「刘伟楠」了么?看来这个情况下,联系工信部似乎是唯一的方案了——哪怕这个操作会炸掉 dsstudio.tech.
不过一番调查之后,我发现好像这是一个大动作:其他的博客也在汇报自己的域名在河南地区被阻断访问了。虽然技术上仍然有方法绕过这个问题,但我感觉这事还是蹊跷。
这么一段时间下来,我联系了阿里云,联系了联通。联通那边建议我先将所有链路上的服务提供商转国产,包括域名解析和 TLS 证书提供者,然后再观察观察。好吧,看来这个域名是彻底没辙了,先按联通的方案进行一波骚操作观察一阵是否一切安好,剩下的关键服务就扔给下一个域名来管理吧。
根据目前收集到的信息,使用 Let's Encrypt 证书的域名被无差别地阻断了。只能说有点吃饱了撑的,但又带着点饿的不行的意味在里面。
目前换到了 TrustAsia 的免费证书上,虽然不是很好通过 certbot 自动化更新,但好在这个证书只需要一年更新一次,也不算特别麻烦。申请的证书也支持通配符,所以相比以前也只是额外十分钟的工作。
参考资料
| ↑1 | 刘伟楠. 什么样的 BUG 会让你目瞪口呆?[R/OL]. 知乎. (2016-12-06)[2023-09-17]. https://web.archive.org/web/20161206085715/https://www.zhihu.com/question/21747929/answer/45782715. |
|---|
现在可以访问了
老哥,我看你的网站现在又能在河南正常访问了,你是怎么操作的啊,我想学习一下,现在我的网站也不能在河南访问了,一打开就显示reset…..
@mimo 没啥好办法,只能先把 DNS 迁到阿里云/腾讯云/国内云;然后再把证书替换成国内签发的证书(TrustAsia 的免费证书),然后听天由命。过一两个月可能就能访问了。
如果你需要快点搞定的话,完成上述迁回之后直接工信部投诉河南移动/河南联通/河南电信,让他们去跟上游解决问题,至少会比自己干等有些反馈。