cf cdn Cloudflare证书墙?禁用在启用ssl功能,重新颁发https还是gts没办法换到le提供商,tls1.3换1.2明文也没用,依旧会ban掉ip的tcp 443端口失联大约120秒,平滑迁移阿里
cf cdn Cloudflare证书墙?禁用在启用ssl功能,重新颁发https还是gts没办法换到le提供商,tls1.3换1.2明文也没用,依旧会ban掉ip的tcp 443端口失联大约120秒,平滑迁移阿里就是这个证书会出问题,gts
重启光猫更换电脑ip后(或者等超过2分钟,主要是重启光猫只要10秒更换新的电脑ip,换ip速度更快),直接访问 https://ip 正常,毕竟cf的ip地址不会返回sni证书
不强制301跳转https,只使用http访问的时候,一切正常排除域名本身被墙,例如cf提供的trace接口
http://bbs.itzmx.com/cdn-cgi/trace
但是浏览器访问ssl hallo后就超时了,怀疑是tls1.3加密证书交换的原因
这个证书墙不针对域名,仅针对ip地址的tcp端口,443端口会失联大约2分钟
尝试修改最低TLS版本,把1.3改成1.2,防止证书交换过程被加密
并且需要把TLS 1.3的总开关关闭
再次尝试抓包,在TLS 1.2明文传输的情况下,一旦证书传输完成后,依旧发生RST连接重置现象,等于说和tls版本无关,只能更换证书解决
可以确认的是,群里其它人使用le证书的站点没有问题,不知道在cf里如何更换免费证书提供商,系统是随机分配的
网上找到相同的问题
https://github.com/net4people/bbs/issues/381
总之先观望一天吧,不行就发工单给cf客服支持人员问问能不能免费换成其它证书颁发商,或者使用其它cdn(免费cdn中视乎也没有比cf更好的了)
发现cf居然不提供客服工单了,想试试问下能不能换成le,,发现只有ai机器人和社区支持
感觉总不可能是域名墙,群里问了下好像别人没有类似的情况(为什么群友是le颁发商,而我是gts!),如果是sni阻断一般在证书交换之前发hallo就ban了,而且改hosts访问也是正常的,只有cf的ip才有这种现象,我还是比较认可是证书墙
受影响的子域名为下三个
1、att、bbs
感觉可以先迁移到阿里云免费cdn,直接套娃,回源ip写cf,阿里云这边可以自己选证书颁发商
试了平滑迁移,访客真实ip通过xff获取功能也是正确的,无需任何担心
cf社区说,要10美元每月,购买高级证书管理器才行
https://community.cloudflare.com/t/google-trust-services-certificates-will-be-blocked-by-the-gfw-firewall/816071
为什么推荐回源ip直接写cf的ip,功能差距太多,找阿里工单客服也说了当前esa版本确实是这样,下方工单客服原话
ESA当前版本的功能确实在规则数量和灵活性上与Cloudflare存在显著差异。这主要是因为两者的产品设计目标不同——ESA聚焦于为企业客户提供高安全、高稳定、合规优先的全球加速能力,尤其在亚太地区的网络优化和DDoS防护上有显著优势。而Cloudflare作为全球CDN服务商,更偏向灵活的自定义规则。
页:
[1]