首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
V2EX  ›  云计算

阿里云香港和新加坡 HTTPS 极其不稳定

  •  1
     
  •   Menci · 58 天前 · 4666 次点击
    这是一个创建于 58 天前的主题,其中的信息可能已经有所发展或是发生改变。

    经常在 SSL 握手就 RST 或者超时。是啥问题啊,我没拿来干不好的事的,只放了正常网站。

    从移动、联通、电信、阿里云北京,都有过这个问题,间歇性的。

    第 1 条附言  ·  58 天前
    可以测试 https://linost.com ,阿里云 HK
    第 2 条附言  ·  58 天前
    acme 申请的 ECDHE_ECDSA 证书也被 reset 了
    求教 https 证书难道也会有缓存吗?
    49 回复  |  直到 2018-07-11 01:27:31 +08:00
        1
    janyw   58 天前
    http 就没问题,https 就有问题,而且间歇性(间歇很大),抓包是被 RST。
        2
    whx20202   58 天前
    我的 HTTPS 代理也是经常抽风,链路很好,估计是被搞了
        3
    f2f2f   58 天前
    习惯就好,毕竟重点关注
        4
    Backlitz   58 天前
    问题的确广泛存在,我也发过贴 https://www.v2ex.com/t/455422
    tcp 建立连接正常,但 ssl client hello 无响应。
    推荐解决方法是尝试 tls 1.3,server hello 后所有握手均加密,减少握手阶段明文报文,避免被 GFW 干扰。
        5
    pubby   58 天前 via Android
    去年开始就遇到了
        6
    doubleflower   58 天前
    本来我这里的宽带没问题的,只有老家的打不开 https,现在这几天我这里也打不开 https 了( ali HK 的)
        7
    xctcc   58 天前 via Android
    腾讯云香港也一样,http 没问题,感觉境外 https 都被搞了
        8
    Backlitz   58 天前 via Android
    另外有人反映这种问题只会出现在 RSA 证书上,换用 ECC 证书即可规避
        9
    Actrace   58 天前
    ICMP 一般优先级是最高的。也就是说为了给你好看的数据,即使丢掉 TCP 和 UDP 也要保证 ICMP。
        10
    whx20202   58 天前
    @Backlitz #4 问题是 TLS1.3 现在各种草案,各种浏览器,随便一乱感觉就用不上了
        11
    Backlitz   58 天前 via Android
    @whx20202 或者试试把 RSA 换成 ECC
        12
    873681136   58 天前
    同样出现这个问题
        13
    doubleflower   58 天前
    @Backlitz
    @xctcc 我刚看了一下自已的网站,上不去,放在 HK。然后我切换到一个美国机房,同样的配置可以上去。看起来就是 HK 的原因,和 TLS 什么的没关系
        14
    Backlitz   58 天前 via Android
    @doubleflower 针对某些机房会干扰的比较强。不相信可以自己抓包看。我当然试过换机房,随便找家小 IDC 都可以正常用
        15
    doubleflower   58 天前
    楼主的网站,我卡了十几秒后上去了

    感觉就是阿里云香港和新加坡会有问题(会超时,或超慢),有人不是这二个机房有问题的吗?
        16
    AntonChen   58 天前
    你发的我可以访问,我自用的在公司,联通 4G 不能访问,家里可以....
        17
    Backlitz   58 天前 via Android
    @doubleflower 同一机器同一时刻 http 访问正常 https 不一定正常,控制变量的都知道是证书的锅啊。怎么就没关系了……
        18
    doubleflower   58 天前
    @Backlitz 不是证书,是机房。HK 机房 http 可以 https 不行。美国机房 http 和 https 都可以。这不是机房问题是什么?
        19
    Backlitz   58 天前 via Android
    @doubleflower 我没有机房没问题啊……然而在这个有问题的机房中,问题是有证书导致的啊……
        20
    Love4Taylor   58 天前 via Android
    @whx20202 现在 Cloudflare 以及 Chrome 65+ 都默认支持 Draft 23
        21
    Backlitz   58 天前 via Android
    @Love4Taylor 65+对国内用户要求是不是有点太高了😂
    昨天翻了翻,只找到 Google 系和套 Cloudflare 的网站是 tls 1.3,其他的包括证书签发网站都是 tls 1.2,搞得我有点怕。
        22
    LU35   58 天前 via Android
    @doubleflower
    去年就有这个问题了
    就是上面说的在 ssl 握手阶段发现 client hello 后有几率直接 rst
    直接抓包就能看出来,被阻断的同时可能其他线路正常可以访问
    不同机房也有区别
        23
    Backlitz   58 天前 via Android
    @LU35 他自己也发帖问过,无数人和他解释过,可他就是理解不了。放弃吧……
        24
    doubleflower   58 天前
    @LU35 去年没这几天这么大规模,我的客户只有很少一部分有问题,所以我也没管。现在是很多人有这问题,连我也上不去了。
        25
    doubleflower   58 天前
    @Backlitz 你这人莫名奇妙,我们现在讨论的不就是这个 SSL 问题吗
        26
    LU35   58 天前 via Android
    @doubleflower 好像是为了封 SNI proxy
    之前也是小部分机房和联通有影响
        27
    Backlitz   58 天前 via Android
    @doubleflower 你翻一下你前几条回复
        28
    doubleflower   58 天前
    @Backlitz 可能是表述误解了。我说的是“机房”被重点照顾了,SSL 本身设置没问题。不要在这个上讨论了。
        29
    Backlitz   58 天前 via Android
    @doubleflower 而我在说通过使用新的配置方式来规避这个“被重点照顾”。
        30
    azh7138m   58 天前
    杭州奠信也这样,联通和移动倒是没问题
    个人感觉就是用了 le 证书的都连不上,芬兰 荷兰 美西 新加坡 香港都这样.......
        31
    cyyself   58 天前 via iPhone
    我测试过与证书无关,抽风的时候 tls 的 client hello 只要带上 sni 数据包就过不去(也有可能是收不到回来的 ack ),而浏览器直接访问 ip 地址 client hello 不带 sni,服务器的 certificate 发下来照样没问题。
        32
    Menci   58 天前 via Android
    @azh7138m 除了 LE 之外有什么尝试过可用的证书推荐吗?
        33
    Menci   58 天前 via Android
    @cyyself 那么有办法禁用 SNI 吗
        34
    azh7138m   58 天前
    @Menci 感觉是奠信的问题,有时候看 tcpdump 服务器明明有数据回来,但是本地就是看不到,我也是 http2,也是间歇性抽风,我也很绝望
        35
    cyyself   58 天前 via iPhone
    @Menci 浏览器在访问的时候就会发送 sni,所以这点无解。

    倒是 IE6 这种不支持 SNI 的浏览器可以正常

    我的做法是不想备案的搞个 ssl 域名放在国内云上,国外机子只是做 http 跳转
        36
    Menci   58 天前 via Android
    @azh7138m 我这里移动联通电信甚至阿里云北京,都重现过同样的问题
        37
    yexm0   58 天前 via iPhone
    @Menci 国内都出事?这。。。电信太乱来了
        38
    Menci   58 天前 via Android
    @yexm0 我是指从这些运营商访问阿里云会出事
        39
    shierji   58 天前 via Android
    这个域名现在在你手里啊
        40
    tyzrj766   58 天前 via Android
    被重点照顾了,热门海外机房就这样,同样的东西和配置搬到冷门的就好多了。尤其联通多一些,我这联通打开我在阿里香港的站有些抽风,一会挂了一会又好了,连接国内网站没问题,连接阿里新加坡的网站经常打不开。电信还好一些,不过据说电信也有一小部分地区也会这样。。。
        41
    Menci   58 天前
    @shierji 不是,这是我赞助商的站
        42
    alect   58 天前
    这域名好熟悉
        43
    geekzu   58 天前
    楼上很多人说是证书的关系,目前综合各种情况来看,和证书半毛钱关系都没有,主要还是部分热门 ip 段的 HTTPS 被重点关注了(比如阿里云 HK/SG)
        44
    syuraking   58 天前
    我还是 LE 的野卡证书,没有任何问题啊,很顺利的访问
        45
    Love4Taylor   58 天前
    @Backlitz #21 那就等 Release 喽 反正也快了... 然后在网站内提示用户升级喽
        46
    wqyyy   58 天前 via iPhone
    我的网站( Vultr Tokyo, LE RSA + ECC 双证书)学校电信环境就死活完不成握手,HTTP 正常 WinSCP ( TCP?)正常。回家移动宽带一切正常还很快(包括 Menci 给出的测试站点)。
        47
    edsheeran   57 天前 via iPhone
    @Backlitz ecc 實測一樣
        48
    kiddyu   50 天前
    大家问题解决了吗,今天 https 基本就是不可用状态了
        49
    mailshuxin   7 天前
    我测试了三天的时间,HTTPS 阻断的问题非常普遍,手机网络能上,电脑不能上。换了空间就可以了
    可惜了这么好的网络
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   1329 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 21ms · UTC 16:44 · PVG 00:44 · LAX 09:44 · JFK 12:44
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1