“泉州白名单”事件最终结论:
- 没有故意丢包
- 没有SNI阻断
- 没有域名白名单刚刚看到一个新闻频道又在说泉州“白名单”,说会在泉州出口对“非国内认证”的后缀域名进行SNI RST,而且还弄出来一张所谓的证据图,我就特地买了一台泉州电信的服务器来看看真假。
观点一:“如果网站的域名的TLD不在中国允许申请的TLD范围内,则继续检查网站的SSL证书,如果网站的SSL证书是免费或自签就进行限速,……所以就利用TLS中的SNI来确定网站的域名,然后进行SNI阻断。”
鉴定为:扯淡
证据:投稿者证明“限速”的方法是测ping,他举的例子“ip.sb” 这个域名的后缀".sb"经查询确实不在中国允许备案的后缀中,而且该网站的SSL证书是Cloudflare签发的免费证书。然而,由图一所示,第一行指令的结果表明ping根本没有丢包,第二行指令的结果表明TLS连接完全可以正常进行,完全没有被SNI阻断。至于为什么他的截图里不行?有两种可能:1. 解析出来的CDN IP恰好属于被阻断的IP(在各个地区不一样),只需刷新DNS缓存再重新解析即可;2. 测试服务器之前多次访问套CF网站导致触发了所谓“5分钟阻断”。无论哪种可能,都跟泉州“白名单”毫无关系。
观点二:“这个网站( ip.sb )的SSL证书应该也不是大型机构的SSL证书。”
鉴定为:扯淡
证据:不好意思有点想笑,你说Cloudflare不是大型机构是吧,那谁是?CNNIC吗哈哈哈……建议说之前先好好查查资料。
观点三:“虽然SS不限速,但是订阅是基于域名的,所以就出现了更新订阅需要使用代理的情况。”
鉴定为:扯淡
证据:图二即为我用泉州电信VPS访问一个典型的机场面板网站的结果,该网站套了cf(从图里返回内容就能看出来),而TLS没有受到任何干扰。
最后,建议大家别相信v2ex和loc之类网站上发的帖子,因为是个人就能发帖,还不如自己买台机器试试。另外造谣/传谣的可以洗洗睡了。
来源
https://t.me/arielsblog/58
欢迎 #泉州 人核实 #白名单
