插图

Microsoft Accounts 在天朝访问发生异常

2014 年 10 月 4 日晚上,从中国访问微软账户登陆页面均会跳出 SSL 证书无效提示,如图:

/usr/uploads/46671412433584.png

颁发对象
公用名 (CN)    hotmai.com
组织 (O)    hotmail.com
组织单位 (OU)     <未包含在证书中>
序列号    29
颁发者

颁发者
公用名 (CN)    hotmai.com
组织 (O)    hotmail.com
组织单位 (OU)     <未包含在证书中>
有效期

颁发日期    14-9-23
截止日期    15-9-23
指纹

SHA-256 指纹    7B AC CB 75 4D A5 BA 45 1F C5 FA E5 10 6B CE 22
34 E3 14 0C 8A 3B 05 9B 36 B0 8C 47 C7 C1 97 2D
SHA-1 指纹    30 F3 B3 AD C6 E5 70 BD A6 06 B9 F9 6D E2 41 90
CE 26 2C 67

以上复制自 Chrome,由「颁发者公用名仅为域名」和「hotmai.com」(没有 l)可以看出,这是一次 SSL 中间人攻击事件。

假证书内容如下:

-----BEGIN CERTIFICATE----- 
MIICYjCCAcugAwIBAgIBKTANBgkqhkiG9w0BAQQFADA4MQswCQYDVQQGEwJjbjEU 
MBIGA1UEChMLaG90bWFpbC5jb20xEzARBgNVBAMTCmhvdG1haS5jb20wHhcNMTQw 
OTIzMTEzNDAzWhcNMTUwOTIzMTEzNDAzWjA4MQswCQYDVQQGEwJjbjEUMBIGA1UE 
ChMLaG90bWFpbC5jb20xEzARBgNVBAMTCmhvdG1haS5jb20wgZ8wDQYJKoZIhvcN 
AQEBBQADgY0AMIGJAoGBAJ0A+/fnNmwleMfxTRBS5iYkwq4jdOzdXMdWxJjYCJSL 
izdyB2lfR1UFK0Q6230HkIYqUVzaUC4hsS9nvin3jQB37W5UESXAextNCIgpSQ9N 
Baf4t5q5ud3AkbR11rdb559e/wMLzGsyD4CML3HlJwgcf4ZHAtrKIVbbBRcGt86J 
AgMBAAGjfDB6MAwGA1UdEwEB/wQCMAAwDgYDVR0PAQH/BAQDAgQwMB0GA1UdDgQW 
BBQ0j1vwhAYDwOUlEFdLxqlBjF0t6TARBglghkgBhvhCAQEEBAMCBeAwKAYJYIZI 
AYb4QgENBBsWGWV4YW1wbGUgY29tbWVudCBleHRlbnNpb24wDQYJKoZIhvcNAQEE 
BQADgYEANQTg2dSEXNPVBJYPSSEe6jLuFbAF7mULievq90yRzPDvXpzdBDxnevbg 
A2bkXJJUJ3CimwvSg2WVgu4VK+fJMFiXBZthHjkcjGbPydtO7f+WeQKaEUK7EZe1 
rNGBhbyz/1RpgXRwAw+oBp/Ii9ZoNsde1qD4hkP3OOlTTQNP2kg= 
-----END CERTIFICATE-----

同时,也有反馈称 login.windows.net 出现同样问题,经过 DNS 查询,发现 DNS 没有受到污染。

/usr/uploads/26971412433584.png

上图左:Google DNS,通过 TCP 查询,右:114DNS,通过 UDP 查询

/usr/uploads/96551412433589.png

经过测试,通过 Windows Azure 中国版建立的 SSH 隧道进行访问,没有出现问题。上左图为本地查询结果,右图为 Azure 中国版查询结果,再次证实 DNS 没出问题。

/usr/uploads/59401412433590.png

经过 tcping 测试(https://github.com/jlyo/tcping)到 443 端口的连接明显遭到劫持,毕竟 ping login.live.com 的延迟也有 200ms 左右,10ms 内做出响应是绝对不可能的。

大约晚上 10:30 左右,问题已经消失,到 login.live.com 的 SSL 连接恢复正常。