V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
Menci
V2EX  ›  云计算

阿里云香港和新加坡 HTTPS 极其不稳定

  •  1
     
  •   Menci · 2018-05-21 10:07:37 +08:00 · 17869 次点击
    这是一个创建于 2376 天前的主题,其中的信息可能已经有所发展或是发生改变。

    经常在 SSL 握手就 RST 或者超时。是啥问题啊,我没拿来干不好的事的,只放了正常网站。

    从移动、联通、电信、阿里云北京,都有过这个问题,间歇性的。

    第 1 条附言  ·  2018-05-21 11:01:28 +08:00
    可以测试 https://linost.com ,阿里云 HK
    第 2 条附言  ·  2018-05-21 12:15:27 +08:00
    acme 申请的 ECDHE_ECDSA 证书也被 reset 了
    求教 https 证书难道也会有缓存吗?
    52 条回复    2018-11-03 11:56:54 +08:00
    janyw
        1
    janyw  
       2018-05-21 10:10:46 +08:00
    http 就没问题,https 就有问题,而且间歇性(间歇很大),抓包是被 RST。
    whx20202
        2
    whx20202  
       2018-05-21 10:14:33 +08:00
    我的 HTTPS 代理也是经常抽风,链路很好,估计是被搞了
    f2f2f
        3
    f2f2f  
       2018-05-21 10:28:15 +08:00
    习惯就好,毕竟重点关注
    Backlitz
        4
    Backlitz  
       2018-05-21 10:38:59 +08:00
    问题的确广泛存在,我也发过贴 https://www.v2ex.com/t/455422
    tcp 建立连接正常,但 ssl client hello 无响应。
    推荐解决方法是尝试 tls 1.3,server hello 后所有握手均加密,减少握手阶段明文报文,避免被 GFW 干扰。
    pubby
        5
    pubby  
       2018-05-21 10:39:53 +08:00 via Android
    去年开始就遇到了
    doubleflower
        6
    doubleflower  
       2018-05-21 10:42:04 +08:00
    本来我这里的宽带没问题的,只有老家的打不开 https,现在这几天我这里也打不开 https 了( ali HK 的)
    xctcc
        7
    xctcc  
       2018-05-21 10:44:10 +08:00 via Android
    腾讯云香港也一样,http 没问题,感觉境外 https 都被搞了
    Backlitz
        8
    Backlitz  
       2018-05-21 10:47:26 +08:00 via Android
    另外有人反映这种问题只会出现在 RSA 证书上,换用 ECC 证书即可规避
    Actrace
        9
    Actrace  
       2018-05-21 10:52:41 +08:00
    ICMP 一般优先级是最高的。也就是说为了给你好看的数据,即使丢掉 TCP 和 UDP 也要保证 ICMP。
    whx20202
        10
    whx20202  
       2018-05-21 11:08:27 +08:00
    @Backlitz #4 问题是 TLS1.3 现在各种草案,各种浏览器,随便一乱感觉就用不上了
    Backlitz
        11
    Backlitz  
       2018-05-21 11:11:00 +08:00 via Android
    @whx20202 或者试试把 RSA 换成 ECC
    873681136
        12
    873681136  
       2018-05-21 11:12:55 +08:00
    同样出现这个问题
    doubleflower
        13
    doubleflower  
       2018-05-21 11:14:18 +08:00
    @Backlitz
    @xctcc 我刚看了一下自已的网站,上不去,放在 HK。然后我切换到一个美国机房,同样的配置可以上去。看起来就是 HK 的原因,和 TLS 什么的没关系
    Backlitz
        14
    Backlitz  
       2018-05-21 11:16:00 +08:00 via Android
    @doubleflower 针对某些机房会干扰的比较强。不相信可以自己抓包看。我当然试过换机房,随便找家小 IDC 都可以正常用
    doubleflower
        15
    doubleflower  
       2018-05-21 11:17:32 +08:00
    楼主的网站,我卡了十几秒后上去了

    感觉就是阿里云香港和新加坡会有问题(会超时,或超慢),有人不是这二个机房有问题的吗?
    AntonChen
        16
    AntonChen  
       2018-05-21 11:20:53 +08:00
    你发的我可以访问,我自用的在公司,联通 4G 不能访问,家里可以....
    Backlitz
        17
    Backlitz  
       2018-05-21 11:24:01 +08:00 via Android
    @doubleflower 同一机器同一时刻 http 访问正常 https 不一定正常,控制变量的都知道是证书的锅啊。怎么就没关系了……
    doubleflower
        18
    doubleflower  
       2018-05-21 11:27:00 +08:00
    @Backlitz 不是证书,是机房。HK 机房 http 可以 https 不行。美国机房 http 和 https 都可以。这不是机房问题是什么?
    Backlitz
        19
    Backlitz  
       2018-05-21 11:28:08 +08:00 via Android
    @doubleflower 我没有机房没问题啊……然而在这个有问题的机房中,问题是有证书导致的啊……
    Love4Taylor
        20
    Love4Taylor  
       2018-05-21 11:38:17 +08:00 via Android
    @whx20202 现在 Cloudflare 以及 Chrome 65+ 都默认支持 Draft 23
    Backlitz
        21
    Backlitz  
       2018-05-21 11:41:02 +08:00 via Android
    @Love4Taylor 65+对国内用户要求是不是有点太高了😂
    昨天翻了翻,只找到 Google 系和套 Cloudflare 的网站是 tls 1.3,其他的包括证书签发网站都是 tls 1.2,搞得我有点怕。
    LU35
        22
    LU35  
       2018-05-21 11:43:31 +08:00 via Android
    @doubleflower
    去年就有这个问题了
    就是上面说的在 ssl 握手阶段发现 client hello 后有几率直接 rst
    直接抓包就能看出来,被阻断的同时可能其他线路正常可以访问
    不同机房也有区别
    Backlitz
        23
    Backlitz  
       2018-05-21 11:48:55 +08:00 via Android
    @LU35 他自己也发帖问过,无数人和他解释过,可他就是理解不了。放弃吧……
    doubleflower
        24
    doubleflower  
       2018-05-21 11:56:15 +08:00
    @LU35 去年没这几天这么大规模,我的客户只有很少一部分有问题,所以我也没管。现在是很多人有这问题,连我也上不去了。
    doubleflower
        25
    doubleflower  
       2018-05-21 11:57:42 +08:00
    @Backlitz 你这人莫名奇妙,我们现在讨论的不就是这个 SSL 问题吗
    LU35
        26
    LU35  
       2018-05-21 11:58:48 +08:00 via Android
    @doubleflower 好像是为了封 SNI proxy
    之前也是小部分机房和联通有影响
    Backlitz
        27
    Backlitz  
       2018-05-21 12:05:38 +08:00 via Android
    @doubleflower 你翻一下你前几条回复
    doubleflower
        28
    doubleflower  
       2018-05-21 12:16:17 +08:00
    @Backlitz 可能是表述误解了。我说的是“机房”被重点照顾了,SSL 本身设置没问题。不要在这个上讨论了。
    Backlitz
        29
    Backlitz  
       2018-05-21 12:17:40 +08:00 via Android
    @doubleflower 而我在说通过使用新的配置方式来规避这个“被重点照顾”。
    azh7138m
        30
    azh7138m  
       2018-05-21 12:23:00 +08:00
    杭州奠信也这样,联通和移动倒是没问题
    个人感觉就是用了 le 证书的都连不上,芬兰 荷兰 美西 新加坡 香港都这样.......
    cyyself
        31
    cyyself  
       2018-05-21 12:25:25 +08:00 via iPhone
    我测试过与证书无关,抽风的时候 tls 的 client hello 只要带上 sni 数据包就过不去(也有可能是收不到回来的 ack ),而浏览器直接访问 ip 地址 client hello 不带 sni,服务器的 certificate 发下来照样没问题。
    Menci
        32
    Menci  
    OP
       2018-05-21 12:25:39 +08:00 via Android
    @azh7138m 除了 LE 之外有什么尝试过可用的证书推荐吗?
    Menci
        33
    Menci  
    OP
       2018-05-21 12:26:15 +08:00 via Android
    @cyyself 那么有办法禁用 SNI 吗
    azh7138m
        34
    azh7138m  
       2018-05-21 12:36:30 +08:00
    @Menci 感觉是奠信的问题,有时候看 tcpdump 服务器明明有数据回来,但是本地就是看不到,我也是 http2,也是间歇性抽风,我也很绝望
    cyyself
        35
    cyyself  
       2018-05-21 12:41:11 +08:00 via iPhone
    @Menci 浏览器在访问的时候就会发送 sni,所以这点无解。

    倒是 IE6 这种不支持 SNI 的浏览器可以正常

    我的做法是不想备案的搞个 ssl 域名放在国内云上,国外机子只是做 http 跳转
    Menci
        36
    Menci  
    OP
       2018-05-21 12:43:07 +08:00 via Android
    @azh7138m 我这里移动联通电信甚至阿里云北京,都重现过同样的问题
    yexm0
        37
    yexm0  
       2018-05-21 13:15:39 +08:00 via iPhone
    @Menci 国内都出事?这。。。电信太乱来了
    Menci
        38
    Menci  
    OP
       2018-05-21 14:12:41 +08:00 via Android
    @yexm0 我是指从这些运营商访问阿里云会出事
    shierji
        39
    shierji  
       2018-05-21 14:25:55 +08:00 via Android
    这个域名现在在你手里啊
    tyzrj766
        40
    tyzrj766  
       2018-05-21 14:32:26 +08:00 via Android
    被重点照顾了,热门海外机房就这样,同样的东西和配置搬到冷门的就好多了。尤其联通多一些,我这联通打开我在阿里香港的站有些抽风,一会挂了一会又好了,连接国内网站没问题,连接阿里新加坡的网站经常打不开。电信还好一些,不过据说电信也有一小部分地区也会这样。。。
    Menci
        41
    Menci  
    OP
       2018-05-21 15:19:41 +08:00
    @shierji 不是,这是我赞助商的站
    alect
        42
    alect  
       2018-05-21 16:42:47 +08:00
    这域名好熟悉
    geekzu
        43
    geekzu  
       2018-05-21 16:55:46 +08:00
    楼上很多人说是证书的关系,目前综合各种情况来看,和证书半毛钱关系都没有,主要还是部分热门 ip 段的 HTTPS 被重点关注了(比如阿里云 HK/SG)
    syuraking
        44
    syuraking  
       2018-05-21 17:57:58 +08:00
    我还是 LE 的野卡证书,没有任何问题啊,很顺利的访问
    Love4Taylor
        45
    Love4Taylor  
       2018-05-21 20:02:06 +08:00
    @Backlitz #21 那就等 Release 喽 反正也快了... 然后在网站内提示用户升级喽
    wqyyy
        46
    wqyyy  
       2018-05-21 23:18:44 +08:00 via iPhone
    我的网站( Vultr Tokyo, LE RSA + ECC 双证书)学校电信环境就死活完不成握手,HTTP 正常 WinSCP ( TCP?)正常。回家移动宽带一切正常还很快(包括 Menci 给出的测试站点)。
    edsheeran
        47
    edsheeran  
       2018-05-22 10:49:33 +08:00 via iPhone
    @Backlitz ecc 實測一樣
    kiddyu
        48
    kiddyu  
       2018-05-29 12:19:53 +08:00
    大家问题解决了吗,今天 https 基本就是不可用状态了
    mailshuxin
        49
    mailshuxin  
       2018-07-11 01:27:31 +08:00
    我测试了三天的时间,HTTPS 阻断的问题非常普遍,手机网络能上,电脑不能上。换了空间就可以了
    可惜了这么好的网络
    pengwen
        50
    pengwen  
       2018-08-07 16:50:28 +08:00 via Android
    想问下楼主解决这个问题了吗,我也遇到这个问题了,实在不行就只能换机房了
    lzs5240
        51
    lzs5240  
       2018-08-08 16:49:21 +08:00
    同遇上这个问题, 阿里云美国, 可找了半天原因, 有什么解决方法吗?...
    Tink
        52
    Tink  
       2018-11-03 11:56:54 +08:00
    我这边也有着有这个问题好像是运营商搞的鬼,,各位怎么解决的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1052 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:08 · PVG 03:08 · LAX 11:08 · JFK 14:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.