klink0v (klink0v) wrote,
klink0v
klink0v

Сказ о DPI* в действии

* DPI → Deep Packet Inspection

Ох на неделе тут случился недетский траходром... Расскажу я вам, соколики, историю дивную.

Есть у нашей фирмочки что-то типа веб-сайтика. Для служебного пользования. Контрагентами там всякими, дилерами, тыры-пыры. На него же могут заходить и всякие неинтерактивные устройства. По HTTP и по HTTPS. Из разных регионов и с разным софтом на борту. А чтобы никакой браузер не ругался, и было всё чинно-благородно, для сайтика этого всегда покупался честный SSL-сертификатик. Самый дешёвый, разумеется. Всякие расширенные проверки, да понты буржуйские нам ни к чему.

Долго ли коротко ли, прошли очередные два года. Настало время сертификат подновить. Купили новый, но от иного центра удостоверяющего. Был имени Comodo, а стал имени GeoTrust-а. Казалось бы, какая разница? Только вот небольшая часть купцов иноземных после замены сертификата сразу же "отвалилась". В плане, не смогли попасть на наш сайт.

Причём чудо чудесатое состояло в том, что все эти бедолаги находятся либо в Калининградской, либо во Владимирской области и работают через мобильный интернет от "Мегафона". А браузером у них у всех IE8 прислуживает.

Стали добры молодцы от мира IT думать, лбы себе тереть. Сначала заподозрили другой алгоритм подписи цифровой. Раньше использовался сургуч марки SHA-1, а теперь баба-Яга только колдовской SHA-2 поставляет. Заподозрили, что обновок каких системам операционным не хватает. Проверили. Обновили. Беда, не помогает.

Принесли проблемную железку в офис, подключили к местному Wi-Fi. Работает. Отнесли на место, где взяли. Тоже работает. Шайтанство! Оседлали коней, приехали на место, где пень трухлявый да с компьютером беда. Заменили SIM-карту в модеме GSM-ном с Мегафона на МТС. Заработало-завертелось колдовство. Поставили обратно старую Мегафоновскую SIM-карту. Всё равно работает, не поломалось. Ничего не понятно.

Три дня да три ночи добры молодцы не если, не пили, не спали и не курили. Всё думали. А потом до них дошло.

Посмотрели они повнимательнее на бересту, на которой им GeoTrust сертификат накорябал. А там надпись такая есть, кому жаловаться если вдруг замок вскроют да меч-кладенец из кладовой украдут. CRL называется. И значилось там вот такое заклинание. Взяли они это заклинание, да вбили как есть в строку адресную осла басурманского. И тут "Мегафон" возьми да и перехвати запрос к бабе Яге. Говорит, не Яга это никакая, а леший посвистом лихим в болото манит. Так и сказал: "Посещение данного сайта может навредить вашему мобильному устройству. Если вы уверены в безопасности посещаемого ресурса, подтвердите своё согласие на переход". И пока молодец не вдавил кнопку "Подтвердить" что есть силы, не могло зеркальце CRL получить волшебный. А как только совершили обряд этот языческий, так сразу всё и засверкалось, засияло.

Вот и сказке конец, а кто слушал долб%%б молодец.

В-общем, это форменная подстава, пацаны. Чтобы установить HTTPS-сессию, браузер хочет сертификат. Чтобы проверить сертификат на предмет возможной компрометации закрытого ключа, браузер хочет CRL. Лезет за CRL-ем на офсайт удостоверяющего центра и получает по рукам от "Мегафона". И ладно бы он просто отвалился по тайм-ауту, это было бы ещё полбеды. Но из-за DPI и этого дурацкого операторского Captive Portal под видом CRL-я ему скармливают какую-то HTML-страницу, которую он совсем не ждёт, не хочет, не может и не совершенно не готов парсить (обработать). И вываливается с ни о чём не говорящей ошибкой.

А самое мерзкое, фиг отловишь. Проявляется не всегда, не везде и даже не во всех регионах. Поседеешь пока разберёшся где собака порылась.

%%ал я такую "заботу о клиентах", %%еать.

UPD. Добавил скриншот. От региона, как выяснилось, не зависит. В Москве тоже воспроизвёл.

Tags: Мегафон, ОПСОСы, администрирование, безопасность, грабли, интернетное
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 13 comments