微软 HTTPS 被劫持

前天去微软网站下补丁， https://download.microsoft.com 有 HTTPS ，可给我跳到联通缓存 IP 去了， WTF ？大微软 HTTPS 能被联通黑？

当时查询是：联通云 BGP 数据中心，应该是： 120.52.72.*吧（没保存，记得 72 ）。

而且劫持到联通缓存 IP 后短时间无法下载了，因为联通缓存 IP 又跑到微软 CDN 去下载，死循环......

CDN HTTPS 可能不安全

蓝汛、网宿用的技术应该借鉴了 CloudFlare 。

CloudFlare 给网站提供了三种 SSL 方案，有选项可以选择：

1.Flexible SSL ，网站自身没 SSL ， CloudFlare 发证书。

用户←[安全]→CloudFlare←[不安全]→网站

2.Full SSL ，网站有 SSL ，但 CDN 不验证 SSL 真实性。

用户←[安全]→CloudFlare←[有一定安全风险]→网站

3.Full SSL(strict)，网站有 SSL ， CDN 验证 SSL 真实性。

用户←[安全]→CloudFlare←[安全]→网站

谁的锅？

如果蓝汛、网宿有三种选项且摆放很明显，那么就是微软网站等管理员的锅。 如果蓝汛、网宿没这种选项，默认把 HTTPS 走 HTTP 回原站，那么就是蓝汛、网宿的锅。

本人不用蓝汛、网宿，不清楚他们的网站后台样子。

tip:很多网站使用了 HTTPS ，但使用了 CDN ， CDN 与网站之间可能是 HTTP ，登陆密码等信息还是不安全的。

谁劫持了 CDN 到网站就可以劫持全国、甚至全球。

一个劫持者的数据：

https://www.v2ex.com/t/279987

另外京东 6 月开始很多页面 HTTPS 强制降到 HTTP ，原来是自己选择 HTTPS 还是 HTTP 访问，搞不懂京东干吗，让人劫持吗？劫持者又开始了。

之前

的苏宁全国被劫持：

https://www.v2ex.com/t/272022

https://www.v2ex.com/t/274210

还有七牛 HTTPS 被劫持：

https://www.v2ex.com/t/280174