首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
华为云
V2EX  ›  云计算

阿里云香港和新加坡 HTTPS 极其不稳定

  •  1
     
  •   Menci · 183 天前 · 7042 次点击
    这是一个创建于 183 天前的主题,其中的信息可能已经有所发展或是发生改变。

    经常在 SSL 握手就 RST 或者超时。是啥问题啊,我没拿来干不好的事的,只放了正常网站。

    从移动、联通、电信、阿里云北京,都有过这个问题,间歇性的。

    第 1 条附言  ·  183 天前
    可以测试 https://linost.com ,阿里云 HK
    第 2 条附言  ·  183 天前
    acme 申请的 ECDHE_ECDSA 证书也被 reset 了
    求教 https 证书难道也会有缓存吗?
    52 回复  |  直到 2018-11-03 11:56:54 +08:00
        1
    janyw   183 天前
    http 就没问题,https 就有问题,而且间歇性(间歇很大),抓包是被 RST。
        2
    whx20202   183 天前
    我的 HTTPS 代理也是经常抽风,链路很好,估计是被搞了
        3
    f2f2f   183 天前
    习惯就好,毕竟重点关注
        4
    Backlitz   183 天前
    问题的确广泛存在,我也发过贴 https://www.v2ex.com/t/455422
    tcp 建立连接正常,但 ssl client hello 无响应。
    推荐解决方法是尝试 tls 1.3,server hello 后所有握手均加密,减少握手阶段明文报文,避免被 GFW 干扰。
        5
    pubby   183 天前 via Android
    去年开始就遇到了
        6
    doubleflower   183 天前
    本来我这里的宽带没问题的,只有老家的打不开 https,现在这几天我这里也打不开 https 了( ali HK 的)
        7
    xctcc   183 天前 via Android
    腾讯云香港也一样,http 没问题,感觉境外 https 都被搞了
        8
    Backlitz   183 天前 via Android
    另外有人反映这种问题只会出现在 RSA 证书上,换用 ECC 证书即可规避
        9
    Actrace   183 天前
    ICMP 一般优先级是最高的。也就是说为了给你好看的数据,即使丢掉 TCP 和 UDP 也要保证 ICMP。
        10
    whx20202   183 天前
    @Backlitz #4 问题是 TLS1.3 现在各种草案,各种浏览器,随便一乱感觉就用不上了
        11
    Backlitz   183 天前 via Android
    @whx20202 或者试试把 RSA 换成 ECC
        12
    873681136   183 天前
    同样出现这个问题
        13
    doubleflower   183 天前
    @Backlitz
    @xctcc 我刚看了一下自已的网站,上不去,放在 HK。然后我切换到一个美国机房,同样的配置可以上去。看起来就是 HK 的原因,和 TLS 什么的没关系
        14
    Backlitz   183 天前 via Android
    @doubleflower 针对某些机房会干扰的比较强。不相信可以自己抓包看。我当然试过换机房,随便找家小 IDC 都可以正常用
        15
    doubleflower   183 天前
    楼主的网站,我卡了十几秒后上去了

    感觉就是阿里云香港和新加坡会有问题(会超时,或超慢),有人不是这二个机房有问题的吗?
        16
    AntonChen   183 天前
    你发的我可以访问,我自用的在公司,联通 4G 不能访问,家里可以....
        17
    Backlitz   183 天前 via Android
    @doubleflower 同一机器同一时刻 http 访问正常 https 不一定正常,控制变量的都知道是证书的锅啊。怎么就没关系了……
        18
    doubleflower   183 天前
    @Backlitz 不是证书,是机房。HK 机房 http 可以 https 不行。美国机房 http 和 https 都可以。这不是机房问题是什么?
        19
    Backlitz   183 天前 via Android
    @doubleflower 我没有机房没问题啊……然而在这个有问题的机房中,问题是有证书导致的啊……
        20
    Love4Taylor   183 天前 via Android
    @whx20202 现在 Cloudflare 以及 Chrome 65+ 都默认支持 Draft 23
        21
    Backlitz   183 天前 via Android
    @Love4Taylor 65+对国内用户要求是不是有点太高了😂
    昨天翻了翻,只找到 Google 系和套 Cloudflare 的网站是 tls 1.3,其他的包括证书签发网站都是 tls 1.2,搞得我有点怕。
        22
    LU35   183 天前 via Android
    @doubleflower
    去年就有这个问题了
    就是上面说的在 ssl 握手阶段发现 client hello 后有几率直接 rst
    直接抓包就能看出来,被阻断的同时可能其他线路正常可以访问
    不同机房也有区别
        23
    Backlitz   183 天前 via Android
    @LU35 他自己也发帖问过,无数人和他解释过,可他就是理解不了。放弃吧……
        24
    doubleflower   183 天前
    @LU35 去年没这几天这么大规模,我的客户只有很少一部分有问题,所以我也没管。现在是很多人有这问题,连我也上不去了。
        25
    doubleflower   183 天前
    @Backlitz 你这人莫名奇妙,我们现在讨论的不就是这个 SSL 问题吗
        26
    LU35   183 天前 via Android
    @doubleflower 好像是为了封 SNI proxy
    之前也是小部分机房和联通有影响
        27
    Backlitz   183 天前 via Android
    @doubleflower 你翻一下你前几条回复
        28
    doubleflower   183 天前
    @Backlitz 可能是表述误解了。我说的是“机房”被重点照顾了,SSL 本身设置没问题。不要在这个上讨论了。
        29
    Backlitz   183 天前 via Android
    @doubleflower 而我在说通过使用新的配置方式来规避这个“被重点照顾”。
        30
    azh7138m   183 天前
    杭州奠信也这样,联通和移动倒是没问题
    个人感觉就是用了 le 证书的都连不上,芬兰 荷兰 美西 新加坡 香港都这样.......
        31
    cyyself   183 天前 via iPhone
    我测试过与证书无关,抽风的时候 tls 的 client hello 只要带上 sni 数据包就过不去(也有可能是收不到回来的 ack ),而浏览器直接访问 ip 地址 client hello 不带 sni,服务器的 certificate 发下来照样没问题。
        32
    Menci   183 天前 via Android
    @azh7138m 除了 LE 之外有什么尝试过可用的证书推荐吗?
        33
    Menci   183 天前 via Android
    @cyyself 那么有办法禁用 SNI 吗
        34
    azh7138m   183 天前
    @Menci 感觉是奠信的问题,有时候看 tcpdump 服务器明明有数据回来,但是本地就是看不到,我也是 http2,也是间歇性抽风,我也很绝望
        35
    cyyself   183 天前 via iPhone
    @Menci 浏览器在访问的时候就会发送 sni,所以这点无解。

    倒是 IE6 这种不支持 SNI 的浏览器可以正常

    我的做法是不想备案的搞个 ssl 域名放在国内云上,国外机子只是做 http 跳转
        36
    Menci   183 天前 via Android
    @azh7138m 我这里移动联通电信甚至阿里云北京,都重现过同样的问题
        37
    yexm0   183 天前 via iPhone
    @Menci 国内都出事?这。。。电信太乱来了
        38
    Menci   183 天前 via Android
    @yexm0 我是指从这些运营商访问阿里云会出事
        39
    shierji   183 天前 via Android
    这个域名现在在你手里啊
        40
    tyzrj766   183 天前 via Android
    被重点照顾了,热门海外机房就这样,同样的东西和配置搬到冷门的就好多了。尤其联通多一些,我这联通打开我在阿里香港的站有些抽风,一会挂了一会又好了,连接国内网站没问题,连接阿里新加坡的网站经常打不开。电信还好一些,不过据说电信也有一小部分地区也会这样。。。
        41
    Menci   183 天前
    @shierji 不是,这是我赞助商的站
        42
    alect   183 天前
    这域名好熟悉
        43
    geekzu   183 天前
    楼上很多人说是证书的关系,目前综合各种情况来看,和证书半毛钱关系都没有,主要还是部分热门 ip 段的 HTTPS 被重点关注了(比如阿里云 HK/SG)
        44
    syuraking   183 天前
    我还是 LE 的野卡证书,没有任何问题啊,很顺利的访问
        45
    Love4Taylor   183 天前
    @Backlitz #21 那就等 Release 喽 反正也快了... 然后在网站内提示用户升级喽
        46
    wqyyy   183 天前 via iPhone
    我的网站( Vultr Tokyo, LE RSA + ECC 双证书)学校电信环境就死活完不成握手,HTTP 正常 WinSCP ( TCP?)正常。回家移动宽带一切正常还很快(包括 Menci 给出的测试站点)。
        47
    edsheeran   182 天前 via iPhone
    @Backlitz ecc 實測一樣
        48
    kiddyu   175 天前
    大家问题解决了吗,今天 https 基本就是不可用状态了
        49
    mailshuxin   133 天前
    我测试了三天的时间,HTTPS 阻断的问题非常普遍,手机网络能上,电脑不能上。换了空间就可以了
    可惜了这么好的网络
        50
    pengwen   105 天前 via Android
    想问下楼主解决这个问题了吗,我也遇到这个问题了,实在不行就只能换机房了
        51
    lzs5240   104 天前
    同遇上这个问题, 阿里云美国, 可找了半天原因, 有什么解决方法吗?...
        52
    Tink   17 天前
    我这边也有着有这个问题好像是运营商搞的鬼,,各位怎么解决的
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3377 人在线   最高记录 3821   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 21ms · UTC 01:22 · PVG 09:22 · LAX 17:22 · JFK 20:22
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1