2014 年 10 月 4 日晚上,从中国访问微软账户登陆页面均会跳出 SSL 证书无效提示,如图:
颁发对象
公用名 (CN) hotmai.com
组织 (O) hotmail.com
组织单位 (OU) <未包含在证书中>
序列号 29
颁发者
颁发者
公用名 (CN) hotmai.com
组织 (O) hotmail.com
组织单位 (OU) <未包含在证书中>
有效期
颁发日期 14-9-23
截止日期 15-9-23
指纹
SHA-256 指纹 7B AC CB 75 4D A5 BA 45 1F C5 FA E5 10 6B CE 22
34 E3 14 0C 8A 3B 05 9B 36 B0 8C 47 C7 C1 97 2D
SHA-1 指纹 30 F3 B3 AD C6 E5 70 BD A6 06 B9 F9 6D E2 41 90
CE 26 2C 67
以上复制自 Chrome,由「颁发者公用名仅为域名」和「hotmai.com」(没有 l)可以看出,这是一次 SSL 中间人攻击事件。
假证书内容如下:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
同时,也有反馈称 login.windows.net 出现同样问题,经过 DNS 查询,发现 DNS 没有受到污染。
上图左:Google DNS,通过 TCP 查询,右:114DNS,通过 UDP 查询
经过测试,通过 Windows Azure 中国版建立的 SSH 隧道进行访问,没有出现问题。上左图为本地查询结果,右图为 Azure 中国版查询结果,再次证实 DNS 没出问题。
经过 tcping 测试(https://github.com/jlyo/tcping)到 443 端口的连接明显遭到劫持,毕竟 ping login.live.com 的延迟也有 200ms 左右,10ms 内做出响应是绝对不可能的。
大约晚上 10:30 左右,问题已经消失,到 login.live.com 的 SSL 连接恢复正常。