对 Google 的证书嗅探

把 ip 放出来看看

第一，用 https 访问 Google ，如果你电脑没被植入什么可疑的根证书，那么可以认为你和 Google 之间的通信是可信的且第三方无法截获。这应该算 SSL 常识。。。

第二， Google 大部分 ip 代反向解析。

比如随便拿个 Google 的 ip 举例：
216.58.197.14 ，怎么判断这个 ip 属于 Google 的呢？

1. dig -x 216.58.197.14 得到反向解析结果， kix06s02-in-f14.1e100.net.
2. 继续验证这个反向结果的正确性， dig kix06s02-in-f14.1e100.net. 得到 216.58.197.14
3. 于是验证结束， 216.58.197.14 这个 ip 属于 Google 。

PS ： 1e100.net 是 Google 的域名， 1e100 也是 Google 名字的来源。

验证 ip 属于 Google 这一步中， dig kix06s02-in-f14.1e100.net 时请使用 dnssec ，即 dig kix06s02-in-f14.1e100.net +dnssec

某组织留几个 ip 给你们一条活路还不感恩戴德居然在这里怀疑人家

你说的是 220.255.2.153 这个?

@linescape 我认为是墙太垃圾了

先不说 GGC ，就算 AS15169 的官方 ip 段中，可以正常使用的 IP 就有上万个
再说 GGC ，全球大约有 3K 左右的 /24 段，这其中也很很多没有被封锁
并且因为和 google 的链接是 SSL ，现在没有任何组织可以拦截或者破解 SSL 数据的
前一段时间确实有过大面积的 封锁，涉及到 as15169 和绝大部分的 GGC ，所以证明 GFW 是有能力全部封锁，但是现在并没有全部封锁，所以说你先前假设的扫出来 IP 就被黑洞是错误的，导致后面的一系列话全都是错误的

@BFDZ 并不是墙垃圾，而是不想把所有的口给全部封死，前一段墙证明自己有能力吧 google 的全部 IP 给干掉的

要封杀 Google 很简单， Google 有自己的 as 号，只要骨干路由不路由这个 as 就行了

墙真要封死 Google 其实很容易，因为 Google 分配到的 ip 段是公开的，直接全段封锁就搞定了，我也奇怪为嘛方叫兽不这么做。。。

@zsj950618 SNI Hello 可以使域名暴露

@fengxing 关键是我自己用 checkgoogleip 扫出来的 ip 很快就失效，最快的几分钟就被黑洞，我比较纳闷

@yexm0 就是这个

@fengxing 不过我的意思是 ggc 是部署在运营商的机房，难道就不能在服务器上做点手脚吗

@a2213108 目前国服网只是象征性的把*.google.com 证书的认证了，很多 video 、 orkut 证书的都没有太严格的封锁，无非只是为了使大部分网民不能随便上 Google 。有的 GGC 速度实在是太不理想了，用的人也不多，流量一大 GGC 自己都会封掉非本网的流量。
像上面那个，电信走 Telia 绕美国，谁爱用就用吧，一段时间后就封，然后再开放另外一批……

@wdlth 三大里唯独就电信绕了。挺奇葩的

@Andy1999 仅限域名，连 path 都无法暴露。 so ？

sni 其实是万恶之源, 造成了 ssl 的不安全.

ssl 其实是端到端加密, 所以理论上可以抵抗中间环节的 窃听和截取. 即使是运营商或者机房也无可奈何.

所以, 我每次 用谷歌 都要打开证书详情, 看看是由那个 CA 签的.

谢谢提醒，我们会尽快安排人手清查漏网之鱼。