DNS che causa errori SSL

1

Nei server DNS del mio vecchio ISP, a volte https://www.facebook.com restituirebbe un certificato per Akamai anziché Facebook. Quello che non capisco è che la modifica del mio server DNS in Google ( 8.8.8.8 ) risolve il problema.

Qualche idea? L'ho riprodotto in più di un'occasione, ma non lo escluderei ancora come una semplice coincidenza.

    
posta tau 07.04.2014 - 23:35
fonte

1 risposta

1

Qualcosa di simile?

Probabilmentecausatodalle tecniche di bilanciamento del carico utilizzate da Facebook.

In sostanza, quando il tuo computer invia una richiesta DNS al tuo server DNS locale (di solito quello gestito dal tuo ISP), contatta a sua volta i server DNS autorevoli per il dominio di Facebook. Questi server a loro volta indirizzano la richiesta DNS ai server DNS Akamai, che restituiscono un indirizzo IP per un server Web di Facebook in base a una serie di fattori, come la distanza geografica, il carico e la congestione.

Questo è stato visto prima . Una sezione di quell'articolo di Ars Technica rivela cosa deve accadere perché i contenuti HTTPS siano correttamente distribuiti su un CDN come Akamai (enfasi mia):

We’ve looked pretty extensively at serving Ars Technica over HTTPS in the past. Here’s what we’d need to do to make this a reality:

First, we would need to ensure that all third-party assets are served over SSL. All third-party ad providers, their back-end services, analytics tools, and useful widgets we include in the page would need to come over HTTPS. Assuming they even offer it, we would also need to be confident that they’re not letting unencrypted content sneak in. Facebook and Twitter are probably safe (but only as of the past few weeks), and Google Analytics has been fine for quite a while. Our ad network, DoubleClick, is a mixed bag. Most everything served up from the DoubleClick domain will work fine, but DoubleClick occasionally serves up vetted third-party assets (images, analytics code) which may or may not work properly over HTTPS. And even if it “works,” many of the domains this content is served from are delivered by CDNs like Akamai over a branded domain (e.g. the server’s SSL cert is for *.akamai.com, not for s0.mdn.net, which will cause most browsers to balk).

Next, we would need to make sure our sensitive cookies have both the Secure and HttpOnly flags set. Then we would need to find a CDN with SSL abilities. Our CDN works really well over HTTP, just like most other CDNs. We even have a lovely “static.arstechnica.net” branded host. CDNs that do expose HTTPS are rare (Akamai and Amazon’s CloudFront currently support it), and leave you with URLs like “static.arstechnica.net.cdndomain.com”. It would work, but we’d be sad to lose our spiffy host name and our great arrangement with CacheFly.

La mia ipotesi è che il tuo ISP stia facendo qualcosa che influisce sulla risoluzione DNS di uno dei domini coinvolti nella richiesta di pagine FB, forse indirizzandolo a un server Akamai che non è configurato correttamente per servire un Pagina Facebook, causando così l'errore.

    
risposta data 08.04.2014 - 00:13
fonte

Leggi altre domande sui tag