DNS causando errores SSL

1

En los servidores DNS de mi antiguo ISP, a veces https://www.facebook.com devolvería un certificado para Akamai en lugar de Facebook. Lo que no entiendo es que el cambio de mi servidor DNS a Google ( 8.8.8.8 ) soluciona el problema.

¿Alguna idea? He reproducido esto en más de una ocasión, pero todavía no lo descartaría como mera coincidencia.

    
pregunta tau 07.04.2014 - 23:35
fuente

1 respuesta

1

¿Algo así?

Probablementeescausadoporlastécnicasde equilibrio de carga que usa Facebook.

Esencialmente, cuando su computadora emite una solicitud de DNS a su servidor DNS local (generalmente la que ejecuta su ISP), a su vez contacta a los servidores DNS autorizados para el dominio de Facebook. Esos servidores, a su vez, dirigen la solicitud de DNS a los servidores de Akamai, que devuelven una dirección IP para un servidor web de Facebook basándose en varios factores, como la distancia geográfica, la carga y la congestión.

Esto ha sido visto anteriormente . Una sección de ese artículo de Ars Technica revela lo que tiene que suceder para que el contenido HTTPS se entregue correctamente a través de un CDN como Akamai (énfasis mío):

  

Hemos analizado ampliamente el servicio de Ars Technica a través de HTTPS en   el pasado. Esto es lo que deberíamos hacer para que esto sea una realidad:

     

Primero, deberíamos asegurarnos de que todos los activos de terceros se sirven   sobre SSL. Todos los proveedores de publicidad de terceros, sus servicios de back-end,   herramientas analíticas, y widgets útiles que incluimos en la página necesitaríamos   para venir a través de HTTPS. Suponiendo que incluso lo ofrezcan, también deberíamos   confía en que no están permitiendo que el contenido no cifrado se infiltre.   Facebook y Twitter son probablemente seguros (pero solo a partir de los últimos   semanas), y Google Analytics ha estado bien durante bastante tiempo. Nuestro anuncio   La red, DoubleClick, es una bolsa mixta. Casi todo servido desde   el dominio de DoubleClick funcionará bien, pero DoubleClick ocasionalmente   atiende activos de terceros verificados (imágenes, código de análisis) que pueden   o puede que no funcione correctamente sobre HTTPS. E incluso si "funciona", muchos de   Los dominios desde los que se sirve este contenido son entregados por CDN como   Akamai sobre un dominio de marca (por ejemplo, el certificado SSL del servidor es para   * .akamai.com, no para s0.mdn.net, lo que causará que la mayoría de los navegadores se nieguen) .

     

A continuación, deberíamos asegurarnos de que nuestras cookies confidenciales tengan tanto   Conjunto de banderas seguras y HttpOnly. Entonces tendríamos que encontrar un CDN con   Habilidades SSL. Nuestro CDN funciona muy bien a través de HTTP, como la mayoría   otros CDNs. Incluso tenemos una hermosa marca "static.arstechnica.net"   anfitrión. Los CDN que exponen HTTPS son raros (Akamai y Amazon   CloudFront lo admite actualmente), y te deja con URL como   "Static.arstechnica.net.cdndomain.com". Funcionaría, pero estaríamos tristes   perder nuestro nombre de host y nuestro excelente arreglo con CacheFly.

Mi conjetura es que su ISP está haciendo algo que afecta la resolución de DNS de uno de los dominios involucrados en la solicitud de la página FB, tal vez dirigiéndolo a un servidor Akamai que no está configurado correctamente para servir a un Página de Facebook, causando así el error.

    
respondido por el scuzzy-delta 08.04.2014 - 00:13
fuente

Lea otras preguntas en las etiquetas