联通对 HTTPS 网站下手了你们怕不怕

上 ss

这样瞎搞应该没法在淘宝正常下单的啊，返利过程也没法完成吧...

@BOYPT #2 怕是很多不懂的人直接点信任或者继续了……

这么牛逼。。。

墙国互联网就和粪坑一样

证书劫持用 chrome 会无限报错 淘宝京东什么的支付流程都完成不了 直接按故障报吧

这个……我还是持怀疑态度，个人建议题主再排查下其他环节，或者只是 CDN 那边出问题了。

怕倒是不怕反正只要自己设备上不瞎装根证书就行, 不过到底是不是联通干的还存疑, 持续关注...

@Tianao 同意。。。

劫持的话，不会搞一个过期的证书。。

抓包看看劫持到哪里啊。
图中的返利链接是
mm_30206881_24090660_114504924
memberid(联盟成员 ID)，siteid(推广媒体 ID)，adzoneid(推广位 id)

我曹!
这瞎 TM 搞不是犯法的吗
这不是劫持吗
真的假的!
我有点不太敢相信哦

这种劫持的目标是那些用会忽略 https 错误的国产浏览器的人

建议还是看看解析出的 IP 地址 看是不是阿里 CDN 的节点 或者被劫持到联通自建的服务器了

如图，首先联通劫持第三方 DNS 到自己的 DNS （经测试大众第三方 DNS 如 114、阿里等都被劫持，小众 DNS 未被劫持），然后将各种返利链接解析到联通自建服务器

@Tianao #7
@est #9
见楼上，首先 DNS 劫持，再解析到联通自建服务器

如图 DNS 路由追踪结果，直接路由牵引劫持

山东联通 最近上京东小米官网什么的 第一次进去都在地址栏标不安全 点击所有连接都跳转空白页 刷新一次后地址栏变为正常的 HTTPS 安全 然后点击链接才正常

楼主用的是联通官方运营商？还是联通代理商？可能截图似乎是联通代理的做的 dns，不是官方的地址

楼主以前也投诉过，我有点印象

返利链接是什么？

淘宝竟然没有用 hsts....

@CloudnuY
哪里的联通？
是内网 IP ？怎么路由跟踪都到 10.196.128.1

一般来讲，信任也不行，装 CA 也不行的

涉及金融都得上 HSTS 了吧，HSTS 认指纹，可以一定程度防止中间人攻击

@Liqianyu 看截图 是山西临汾

@Liqianyu #21 一百八十线小县城，联通分配的内网 IP

@chinvo HSTS 不认指纹的吧，只是尊重协议的客户端需要走 HTTPS

@CloudnuY 怎么看出劫持第三方 DNS 到自己的 DNS 的？

工信部吧。这种不像是运营商搞得，感觉可能是内部人员滥用职权搞得

又不是第一次这样搞了
工信部投诉吧

@qgswzmz 小米官网根域名（ https://mi.com ）好像就是他们自己配置错了。。。得用 www （ https://www.mi.com ）才可以

@v2gg 应该不是这个问题吧 我是输入 mi （或者 jd ）然后 Ctrl+回车 自动加的 www 和 com

@qgswzmz #30 小米官网的确在联通劫持名单里面

@qgswzmz 有可能浏览器识别了，我这不太清楚；但是我这里 https://mi.com/ 是提示安全证书验证失败的