ทำไมฉันไม่สามารถเชื่อมต่อกับเว็บไซต์นี้ผ่าน HTTPS ได้

4

ตั้งแต่ฉันอัพเกรดเป็น Windows 10 มีเว็บไซต์เดียวที่ฉันเข้าชมซึ่งฉันไม่สามารถเชื่อมต่อได้ คนอื่น ๆ ที่ฉันพูดคุยไม่ได้มีปัญหานี้ ฉันสามารถเข้าถึงได้จากโทรศัพท์ของฉันในเครือข่ายเดียวกัน ฉันติดต่อ บริษัท ที่เป็นเจ้าของเว็บไซต์และพวกเขาไม่สามารถทำซ้ำได้

ใน poking ของฉันไปรอบ ๆ ฉันได้รับ openssl 1.0.1p เวอร์ชั่น 64 บิตสำหรับ Windows ฉันไม่รู้ด้วยซ้ำว่านี่เป็นสิ่งที่ฉันต้องการหรือไม่และฉันได้อ่านว่ามีข้อบกพร่องบางอย่าง แต่ไม่ใช่ของคนอื่น มีมากมาย! นี่คือคำสั่งที่ฉันใช้:

openssl s_client -msg -debug -connect secure.paizo.com:443

และนั่นทำให้ฉันได้รับ

CONNECTED(000001B8)

write to -0x52ea5b30 [-0x52e910e0] (297 bytes => 297 (0x129))
0000 - 16 03 01 01 24 01 00 01-20 03 03 38 d1 1f 78 ac   ....$... ..8..x.
0010 - 59 8c 67 30 45 83 f5 18-7a f0 ec 74 b0 d2 56 09   Y.g0E...z..t..V.
0020 - 71 f6 0d 4c 40 02 7c a6-f2 a7 69 00 00 8a c0 30   q..L@.|...i....0
0030 - c0 2c c0 28 c0 24 c0 14-c0 0a 00 a3 00 9f 00 6b   .,.(.$.........k
0040 - 00 6a 00 39 00 38 00 88-00 87 c0 32 c0 2e c0 2a   .j.9.8.....2...*
0050 - c0 26 c0 0f c0 05 00 9d-00 3d 00 35 00 84 c0 2f   .&.......=.5.../
0060 - c0 2b c0 27 c0 23 c0 13-c0 09 00 a2 00 9e 00 67   .+.'.#.........g
0070 - 00 40 00 33 00 32 00 9a-00 99 00 45 00 44 c0 31   .@.3.2.....E.D.1
0080 - c0 2d c0 29 c0 25 c0 0e-c0 04 00 9c 00 3c 00 2f   .-.).%.......<./
0090 - 00 96 00 41 00 07 c0 11-c0 07 c0 0c c0 02 00 05   ...A............
00a0 - 00 04 c0 12 c0 08 00 16-00 13 c0 0d c0 03 00 0a   ................
00b0 - 00 15 00 12 00 09 00 ff-01 00 00 6d 00 0b 00 04   ...........m....
00c0 - 03 00 01 02 00 0a 00 34-00 32 00 0e 00 0d 00 19   .......4.2......
00d0 - 00 0b 00 0c 00 18 00 09-00 0a 00 16 00 17 00 08   ................
00e0 - 00 06 00 07 00 14 00 15-00 04 00 05 00 12 00 13   ................
00f0 - 00 01 00 02 00 03 00 0f-00 10 00 11 00 23 00 00   .............#..
0100 - 00 0d 00 20 00 1e 06 01-06 02 06 03 05 01 05 02   ... ............
0110 - 05 03 04 01 04 02 04 03-03 01 03 02 03 03 02 01   ................
0120 - 02 02 02 03 00 0f 00 01-01                        .........
>>> TLS 1.2 Handshake [length 0124], ClientHello
    01 00 01 20 03 03 38 d1 1f 78 ac 59 8c 67 30 45
    83 f5 18 7a f0 ec 74 b0 d2 56 09 71 f6 0d 4c 40
    02 7c a6 f2 a7 69 00 00 8a c0 30 c0 2c c0 28 c0
    24 c0 14 c0 0a 00 a3 00 9f 00 6b 00 6a 00 39 00
    38 00 88 00 87 c0 32 c0 2e c0 2a c0 26 c0 0f c0
    05 00 9d 00 3d 00 35 00 84 c0 2f c0 2b c0 27 c0
    23 c0 13 c0 09 00 a2 00 9e 00 67 00 40 00 33 00
    32 00 9a 00 99 00 45 00 44 c0 31 c0 2d c0 29 c0
    25 c0 0e c0 04 00 9c 00 3c 00 2f 00 96 00 41 00
    07 c0 11 c0 07 c0 0c c0 02 00 05 00 04 c0 12 c0
    08 00 16 00 13 c0 0d c0 03 00 0a 00 15 00 12 00
    09 00 ff 01 00 00 6d 00 0b 00 04 03 00 01 02 00
    0a 00 34 00 32 00 0e 00 0d 00 19 00 0b 00 0c 00
    18 00 09 00 0a 00 16 00 17 00 08 00 06 00 07 00
    14 00 15 00 04 00 05 00 12 00 13 00 01 00 02 00
    03 00 0f 00 10 00 11 00 23 00 00 00 0d 00 20 00
    1e 06 01 06 02 06 03 05 01 05 02 05 03 04 01 04
    02 04 03 03 01 03 02 03 03 02 01 02 02 02 03 00
    0f 00 01 01
read from -0x52ea5b30 [-0x52e8bb80] (7 bytes => 0 (0x0))
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 297 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

นอกจากนี้จากการพูดคุยรอบตัวของฉันเองฉันเข้าใจว่าเห็นได้ชัดว่าฉันไม่ได้รับอะไรคืนจากข้อความทักทายลูกค้าของฉัน ในการตอบสนองของ บริษัท พวกเขาสงสัยว่าฉันไม่ได้ใช้พรอกซีที่ทำให้เรื่องยุ่ง ฉันไม่ได้ใช้พรอกซี ไม่ได้กำหนดค่าภายใต้ Windows ไม่มีเราเตอร์ของฉัน

ใครบ้างที่สามารถส่องแสงและอาจอธิบายผลลัพธ์ข้างต้นได้บ้าง ฉันเป็นคนที่ค่อนข้างช่างเทคนิค แต่บริเวณนี้เป็นปริศนาสำหรับฉันและนี่คือเว็บไซต์ที่ฉันเคยเข้าชมบ่อย ๆ

การชี้แจงอย่างรวดเร็ว: ฉันสามารถเชื่อมต่อกับส่วนที่ไม่ปลอดภัยของไซต์ paizo.com ส่วน SSL เป็นเพียงส่วนเดียวที่ฉันมีปัญหา

networking  proxy  windows-10  ssl  openssl 
Bigsby
แหล่งที่มา
คุณลองเบราว์เซอร์อื่นแล้วหรือยัง
Unfundednut
ใช่. Chrome ดูเหมือนว่าจะบังคับให้การเชื่อมต่อเกิดขึ้นกับรุ่น SSL หากมี Firefox ดูเหมือนจะเป็นเนื้อหาที่ฉันเคยป้อน HTTP หรือ HTTPS แต่บางส่วนของไซต์ถูกบังคับผ่านการเชื่อมต่อ SSL เช่นการโพสต์บนกระดานข้อความของพวกเขาเพื่อที่จะไม่ทำงานสำหรับฉัน Edge ดูเหมือนว่าจะนำฉันไปยังรุ่น HTTP เสมอแม้ว่าฉันจะป้อนที่อยู่ HTTPS ก็ตาม
Bigsby
คุณใช้พรอกซีหรือเปล่า? หรือมีไฟร์วอลล์ในเครือข่ายของคุณบ้าง และไม่จำเป็นต้องใช้ OpenSSL สำหรับการรองรับ SSL ใน Windows เพราะ Microsoft มี SSL stack ของตัวเองและ Chrome และ Firefox มี SSL stack ของตัวเองเช่นกัน และคุณแน่ใจหรือไม่ว่า secure.paizo.com จะแก้ไขที่อยู่ IP ที่ถูกต้องสำหรับคุณ - 207.115.69.198 สำหรับฉัน (CNAME to paizo.com)
Steffen Ullrich
ไม่ฉันรู้ว่าไม่จำเป็นสำหรับ SSL ใน Windows ฉันดาวน์โหลดมันเป็นเครื่องมือเพื่อช่วยวินิจฉัยปัญหา ฉันมีไฟร์วอลล์บนเราเตอร์และบนพีซีของฉัน เนื่องจากฉันสามารถเชื่อมต่อกับโทรศัพท์ของฉันได้จึงไม่ใช่เราเตอร์ ฉันไม่มีกฎแบบนั้น ฉันปิดการใช้งาน A / V และทั้งหมดบนเดสก์ท็อปของฉัน แต่ไม่มีผลใด ๆ แต่ไม่ใช่ไม่มีพร็อกซี่ที่ฉันพูด ไม่ว่าฉันจะกำหนดค่าหรือเห็นใน Windows, เบราว์เซอร์ของฉันหรือเราเตอร์ของฉัน ฉันยังได้รับ IP เดียวกันที่ทำ nslookup บนเดสก์ท็อปของฉัน
Bigsby
สำหรับสิ่งที่คุ้มค่า, เว็บไซต์ที่ไม่ได้มีความผิดพลาด 301 เปลี่ยนเส้นทางเมื่อใช้โดเมนที่มี HTTP แทน HTTPS: secure.paizo.comhttp://paizo.comhttps//secure.paizo.com/เปลี่ยนเส้นทางไปยัง โดยตัวมันเองนั้นไม่เกี่ยวข้องกับปัญหาของคุณ แต่มันจะทำให้ฉันคิดว่าเซิร์ฟเวอร์นั้นไม่ได้รับการกำหนดค่าที่ดีมาก
Arjan

คำตอบ:

2

ติดตั้ง Wireshark ในพีซีของคุณและทำการดักจับทราฟฟิกระหว่างการพยายามเชื่อมต่อที่ล้มเหลว บันทึกการดักจับเป็นไฟล์ pcap การวิเคราะห์การแลกเปลี่ยนปริมาณการใช้คุณจะสามารถมุ่งเน้นไปที่ปัญหา

ตบเบา ๆ
แหล่งที่มา
ฉันแหย่ไปรอบ ๆ Wireshark แต่ไม่รู้สึกว่าฉันเข้าใจดีว่าเกิดอะไรขึ้น ฉันจะทำสิ่งนี้และดูสิ่งที่ฉันค้นหา
Bigsby
คุณยังสามารถจับภาพการเชื่อมต่อที่ดีและเปรียบเทียบทั้ง ... หากคุณหลงทางเพียงแค่อัปโหลดภาพที่ใดก็ได้
แพท
จากสิ่งที่ฉันเห็นมีการรีเซ็ตในที่นั่นไฮไลท์ Wireshark ฉันไม่แน่ใจในความหมายของมันแม้ว่าจะชอบสิ่งที่มองหาในแพ็กเก็ตอื่นและอะไรก็ตาม นี่คือ pcap
Bigsby
ไคลเอนต์ส่ง "ลูกค้า Hello" จากนั้นโฮสต์ด้วยเหตุผลบางอย่างส่ง [ACK, FIN] (รับทราบ + ความปรารถนาที่จะปิดการเชื่อมต่อ) แต่ลูกค้าไม่ตอบกลับด้วย [ACK, FIN] แล้วรอและในที่สุดก็ยกเลิกเมื่อ โฮสต์ได้ปิดลิงก์แล้ว คุณควรเพิ่มการจับภาพที่ไม่ล้มเหลวสำหรับการเปรียบเทียบ
แพท
สำหรับการจับภาพที่ไม่ล้มเหลวนั้นจะเป็นของไซต์เดียวกัน แต่เป็น HTTP ไซต์อื่นที่เป็น HTTPS หรืออย่างอื่นหรือไม่
Bigsby
2

ยังไงก็ตามการกำหนดค่าในท้องถิ่นของฉันก็เกิดความสับสน ฉันยอมรับการเชื่อมต่อ TLS 1.2 แต่จริง ๆ แล้วคอมพิวเตอร์ของฉันเชื่อมต่อกับ 1.0 ฉันเช็ดคอมพิวเตอร์และทำงานตามที่คาดไว้ นี่จะแสดงให้ฉันเห็นอีกครั้งเพื่อไม่อัปเกรด Windows และทำการติดตั้งใหม่ทั้งหมด

ฉันมีเมตริกการกำหนดค่าและการติดตั้งที่ต้องทำตอนนี้ เฮ้ย ...

ขอบคุณทุกคนสำหรับความช่วยเหลือของคุณ

Bigsby
แหล่งที่มา
คุณรู้จักคุณได้อย่างไรเมื่อเชื่อมต่อผ่าน TLS 1.0 อาจอ่านการจับภาพ Wireshark หรือไม่?
Pat
1
Nope ผมไปssllabs.com/ssltest/viewMyClient.htmlและhowsmyssl.com ไม่ว่าด้วยเหตุผลใดฉันสนับสนุนเวอร์ชัน TLS ล่าสุด แต่ไม่ได้เชื่อมต่อกับมัน ฉันกลับไปที่ไซต์อื่นที่ฉันเยี่ยมชมและดูอย่างใกล้ชิดยิ่งขึ้นและเห็นว่าฉันเชื่อมต่อกับ TLS 1.0 นั่นกลายเป็นปัญหาพื้นฐานกับเครื่องของฉันมากกว่าที่จะเป็นเว็บไซต์ที่ผิดพลาดดังนั้นฉันจึงเช็ดมันและติดตั้ง Windows ใหม่
Bigsby
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.