странный-certdomain-в-realitlscanner

Ник	Пост	Дата
flynt-3650	всем привет, имеется self-hosted VPN на VLESS + REALITY с мимикрией под hbo.com. при попытке прозвонить мой IP через RealiTLScanner, вылазит какой-то вообще левый домен не имеющиий никакого отношения к HBO (наверное). в чём может быть проблема или всё так и должно быть? настройка инбаунда и результат скана на скринах. Flow у клиента, естественно XTLS RPRX VISION	2024-12-26T09:29:09.252Z
spotted_giraffe	curl -v --resolve hbo.com:443:<ваш IP> https://hbo.com А это команда хорошо отрабатывает?	2024-12-26T09:56:43.968Z
flynt-3650	ну вроде как да λ ~/ curl -v --resolve hbo.com:443:<IP_REMOVED> https://hbo.com * Added hbo.com:443:<IP_REMOVED> to DNS cache * Hostname hbo.com was found in DNS cache * Trying <IP_REMOVED>:443... * Connected to hbo.com (<IP_REMOVED>) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * TLSv1.0 (OUT), TLS header, Certificate Status (22): * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.2 (IN), TLS header, Certificate Status (22): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.2 (IN), TLS header, Finished (20): * TLSv1.2 (IN), TLS header, Supplemental data (23): * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): * TLSv1.2 (IN), TLS header, Supplemental data (23): * TLSv1.3 (IN), TLS handshake, Certificate (11): * TLSv1.2 (IN), TLS header, Supplemental data (23): * TLSv1.3 (IN), TLS handshake, CERT verify (15): * TLSv1.2 (IN), TLS header, Supplemental data (23): * TLSv1.3 (IN), TLS handshake, Finished (20): * TLSv1.2 (OUT), TLS header, Finished (20): * TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.2 (OUT), TLS header, Supplemental data (23): * TLSv1.3 (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=hbo.com * start date: May 18 17:15:33 2024 GMT * expire date: Jun 19 17:15:32 2025 GMT * subjectAltName: host "hbo.com" matched cert's "hbo.com" * issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign Atlas R3 DV TLS CA 2024 Q2 * SSL certificate verify ok. * Using HTTP2, server supports multiplexing * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * TLSv1.2 (OUT), TLS header, Supplemental data (23): * TLSv1.2 (OUT), TLS header, Supplemental data (23): * TLSv1.2 (OUT), TLS header, Supplemental data (23): * Using Stream ID: 1 (easy handle 0x557aa4481eb0) * TLSv1.2 (OUT), TLS header, Supplemental data (23): > GET / HTTP/2 > Host: hbo.com > user-agent: curl/7.81.0 > accept: / > * TLSv1.2 (IN), TLS header, Supplemental data (23): * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * TLSv1.2 (IN), TLS header, Supplemental data (23): * TLSv1.2 (OUT), TLS header, Supplemental data (23): * TLSv1.2 (IN), TLS header, Supplemental data (23): < HTTP/2 308 < server: Varnish < retry-after: 0 < location: https://www.hbo.com/ < accept-ranges: bytes < date: Thu, 26 Dec 2024 10:36:13 GMT < via: 1.1 varnish < x-served-by: cache-fra-eddf8230081-FRA < x-cache: HIT < x-cache-hits: 0 < x-timer: S1735209374.538981,VS0,VE0 < set-cookie: countryCode=DE; Domain=.hbo.com; Path=/; SameSite=Lax < set-cookie: stateCode=HE; Domain=.hbo.com; Path=/; SameSite=Lax < set-cookie: geoData=frankfurt am main\|HE\|60313\|DE\|EU\|100\|broadband\|50.110\|8.680; Domain=.hbo.com; Path=/; SameSite=Lax < x-gep-countrycode: DE < strict-transport-security: max-age=31536000; < normalized-language: en < alt-svc: h3=":443";ma=86400,h3-29=":443";ma=86400,h3-27=":443";ma=86400 < content-length: 0 < * Connection #0 to host hbo.com left intact	2024-12-26T10:40:23.784Z
spotted_giraffe	Да вроде все в порядке, по крайней мере так проверяют корректность реалити если не ошибаюсь. Можно попробовать еще в файл hosts прописать IP вашего VPS и url сайта. Если в браузере откроется, то настроено все правильно	2024-12-26T11:16:40.210Z
spotted_giraffe	github.com/pypi/support files.pythonhosted.org serves invalid certificate opened 09:57AM - 14 Dec 23 UTC closed 03:34PM - 20 Dec 23 UTC arnaudsjs network <!-- NOTE: This issue should be for problems with PyPI itself, including: … * pypi.org * test.pypi.org * files.pythonhosted.org This issue should NOT be for a project installed from PyPI. If you are having an issue with a specific package, you should reach out to the maintainers of that project directly instead. Furthermore, this issue should NOT be for any non-PyPI properties (like python.org, docs.python.org, etc.) If your problem is related to search (a new or updated project doesn't appear in the PyPI search results), please wait for a couple of hours and check again before reporting it. The search index may take some time to be updated. --> Describe the bug Executing pip sometimes fails with the following warning/error: ``` 08:56:41 python3.11 -m venv /opt/venv 08:56:41 + /opt/venv/bin/pip3 install -U pip wheel setuptools 08:56:41 Requirement already satisfied: pip in /opt/venv/lib64/python3.11/site-packages (22.3.1) 08:56:41 Collecting pip 08:56:41 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:41 WARNING: Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:42 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:42 WARNING: Retrying (Retry(total=3, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:42 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:43 WARNING: Retrying (Retry(total=2, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:43 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:45 WARNING: Retrying (Retry(total=1, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:45 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:49 WARNING: Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:49 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:49 ERROR: Could not install packages due to an OSError: HTTPSConnectionPool(host='files.pythonhosted.org', port=443): Max retries exceeded with url: /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl (Caused by SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))) 08:56:49 ``` It doesn't consistently fails, sometimes the certificate validation also just works. Expected behavior The certificate validation succeeds consistently. To Reproduce See output snippet above. My Platform * OS: Rocky Linux 8 * Version openssl package: openssl==1:1.1.1k-9.el8_7 Вот тут обсуждалось что-то похожее, связали с проблемой DNS, возвращает неверный сертификат для files.pythonhosted.org Выполните dig hbo.com для интереса	2024-12-26T11:20:43.398Z
flynt-3650	т.е. если РКН захочет пробить мой сервер, то там его будут ждать всё-таки валидные серты от HBO?	2024-12-26T11:28:27.149Z
flynt-3650	λ ~/ dig hbo.com ; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <<>> hbo.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48481 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;hbo.com. IN A ;; ANSWER SECTION: hbo.com. 295 IN A 151.101.65.55 hbo.com. 295 IN A 151.101.129.55 hbo.com. 295 IN A 151.101.1.55 hbo.com. 295 IN A 151.101.193.55 ;; Query time: 10 msec ;; SERVER: 10.255.255.254#53(10.255.255.254) (UDP) ;; WHEN: Thu Dec 26 14:24:15 EAT 2024 ;; MSG SIZE rcvd: 100	2024-12-26T11:29:06.495Z
spotted_giraffe	Не должно их смущать, ресолвится на ваш адрес все как нужно. А вы curl и dig где выполняли, на своей машине или на VPS где запущена панель? На всякий случай упомяну, что в случае серьезного Active Probing озаботится только ресолвом хоста это не все. Должны совпадать при сканировании порты, все что открыто открыто так же, что закрыто, аналогично. Реалити работает на порте 443, но если например сайт под который вы мимикрируете работает на 80 порту, то его тоже придется держать открытым и настроить iptables, чтобы трафик с него гоняло на реальный сервер hbo Хабр Bleeding-edge обход блокировок с полной маскировкой: настраиваем сервер и... Статья опубликована под лицензией Creative Commons BY-NC-SA . В серии предыдущих статей я описывал, почему повсеместно используемые VPN- и прокси-протоколы такие как Wireguard и L2TP очень уязвимы к...	2024-12-26T11:42:12.267Z
flynt-3650	spotted_giraffe: А вы curl и dig где выполняли, на своей машине или на VPS где запущена панель? на своей. спасибо за статью, ознакомлюсь)	2024-12-26T11:47:45.306Z
spotted_giraffe	А попробуйте на самом сервере, если панель конечно не в докере каком-нибудь. Может он там вернет лишний серт, а панель просто подхватывает последний что находит	2024-12-26T11:50:19.610Z
flynt-3650	ну вообще панель в докере, это может быть проблемой?	2024-12-26T11:51:26.451Z
flynt-3650	а, ну да `/app # dig hbo.com sh: dig: not found /app # apt install dig sh: apt: not found /app #`	2024-12-26T11:54:43.570Z
spotted_giraffe	Ну в теории можно туда поставить все, но геморно. Оставьте тогда как есть, главное в остальных случаях ресолвится	2024-12-26T12:08:07.545Z
flynt-3650	т.е. в целом всё норм? проверил порты, собственно, у HBO открыты 80 и 443, надо будет тоже открыть)) огромное спасибо за оказанную помощь!	2024-12-26T12:17:43.016Z
spotted_giraffe	Норм. Откройте и настройте прероутинг, в статье написано как это можно сделать. Ну и 22 порт надеюсь у вас будет где-то повыше)	2024-12-26T12:21:25.806Z
flynt-3650	окей)) порт естественно сильно выше, но я его там как-нибудь сокрою тоже	2024-12-26T12:23:31.239Z