github SSL 劫持是如何实现的？具体原理是什么

前排卖瓜子。坐等大神解释。

😁不出意外的情况，这篇文章马上将被站主移到水深火热节点

根据网友的反馈：
移动、联通、电信、教育网都有出问题的报告
DNS 解析结果正确，故不是 DNS 污染
同一个 IP，ICMP 、80 port 响应正常，443 port 有问题，不像是 BGP 配置问题
ping 443 port 比 ICMP 、80 port 时延短得多
tracert ICMP 、80 port 可以到境外，443 port 终止于境内
故猜测响应 SSL 的设备位于境内
在运营商级别选择性转发特定端口通信应该不是什么难题

从全国各地发生的时间差来看，应该是某种类似省级层面的神秘设备被控制的结果

手动马克

无论什么技术手段，反正就是中国境内有人搞鬼。

运营商或者神秘设备上给你按 4 层路由或者 DNAT 或者直接回包握手建连接，就被抓走了，而且酱紫只会抓 443

显然是神秘设备 区别对待了 443 端口。 可能是在进行某种实验。

应该是某种实验

目前已知两种方法：
1 、黑掉解析 IP 的服务器，放假证书。
2 、拿到 GFW 、运营商根节点权限，把 IP 转向另一台有假证书的服务器，证书通过的话此服务器可做中间人。
不过很可惜，还是绕不过浏览器，此测试我早就做过了。下一步只需要在国内浏览器中注入假的根证书，那么就能监控所有人的浏览信息。

@fancy111 这么可怕啊。应该是某种实验咯

国产证书应该已经在路上了

只要劫持 tcp 就行了,其他的想咋搞就咋搞

@fancy111 以后浏览器也必须国产化，哈哈哈

干这活只要有权限就行，看那个 QQ 号，估计就是网安局刚入职 1,2 年的小喽啰干的。

毕竟一线能干活的也就他们了。

担凳子坐看看分析是否到位

感觉干这活的不会这么捞吧？还留个 qq 号？应该是个人行为吧？

啥啥都个人行为，总统说 wuhan virus 是个人行为吗，国会议员呢，联邦雇员呢。

半个小时前还能正常访问 github 的，就这一会儿突然不行了，看了下证书过期时间是 2029 年 9 月，Server 和 CA 证书里竟然留的 QQ 邮箱。。。

目前受影响的是新加坡的 IP，端口 443 应该被拦截了，其中一个 IP 即 13.229.188.59 直接访问 IP 网页证书颁发者是 1396060845037@mymail.com ，但是使用 ssh -Tvvv git@ip 则可以发现 22 端口正常。如果使用美国弗吉尼亚州阿什本的 IP 则可以正常访问 HTTPS，但速度较慢。