哪些路由器设置会阻止我通过 https 访问 CSS 文件?

tag-icon tag-icon security router
哪些路由器设置会阻止我通过 https 访问 CSS 文件?

如果我尝试使用我的浏览器获取此资源(CSS文件):

https://secure.skypeassets.com/apollo/2.0.823/css/components.css

我收到此错误:

Chrome 上的错误

使用 Firefox:

当前连接不可信任

您已要求 Firefox 安全连接到 secure.skypeassets.com,但我们无法确认您的连接是否安全。

通常,当您尝试安全连接时,网站会提供可信身份证明来证明您访问的是正确的网站。但是,此网站的身份无法验证。我该怎么办?

如果您通常可以毫无问题地连接到此站点,则此错误可能意味着有人正在试图冒充该网站,您不应继续。

但是,如果我将以太网电缆直接连接到电缆调制解调器,而不是通过路由器,我就可以毫无问题地访问此资源。

所以在我看来,问题在于路由器设置,而不是计算机本身的网络设置。

该路由器是 D-Link DIR-632 无线 N 8 端口路由器。通过以太网电缆连接的计算机上会出现此问题通过无线连接的计算机。路由器显示固件已更新。

编辑:

我发现 skype.com 上的所有页面都存在这个问题(没有获取 CSS 文件,因此所有页面看起来都很丑陋)。其他 HTTPS 流量正常。我记得这种情况一直存在,但我不确定这台路由器是否一直存在这种情况。

更多编辑:

选择“高级”会显示以下内容:

此服务器无法证明它是 secure.skypeassets.com;其安全证书不受您计算机操作系统的信任。这可能是由于配置错误或攻击者拦截您的连接造成的。

继续访问 secure.skypeassets.com(不安全)

我被要求提供证书。当我去保存它时有很多选项,我不确定我是否做对了,但它被压缩了这里。(我认为它是在访问时保存的www.skype.com,但格式很糟糕,因为它无法从访问 CSS 文件secure.skypeassets.com。但我现在意识到我做错了……我应该在“您的连接不是私密的”页面时保存证书。哎呀。如果有帮助的话,我现在可以去获取另一个证书,但鉴于问题已通过更改我的 DNS 服务器得到解决,我现在不确定这是否是转移注意力的手段。)

答案1

Skype 的静态资源托管在 Akamai,一家内容分发网络,将请求路由到最适合您所在位置的全球服务器之一。也许 Akamai 生成的 Skype 证书在 Akamai 的某个服务器上无效,或者也许他们的某个服务器根本不托管 Skype 内容(不再托管),而 Akamai 正尝试使用其他证书向您显示错误页面。

因此,只是一个猜测:也许路由器使用了不同的 DNS 设置,这些地址要么已经过时(可能指向错误的 IP 地址),要么指向配置错误的 Akamai 服务器,要么用于过滤 DNS 服务器(您是否设置了类似开放DNS有一天?)指的是 DNS 服务器的拒绝访问页面。

您可以尝试nslookup secure.skypeassets.com找出这两个连接的区别。(第一行会告诉您使用的是哪个 DNS 服务器,但这通常是指路由器或调制解调器的 IP 地址。)

您还可以将获得的输出与使用 Google DNS 时的输出进行比较:

nslookup secure.skypeassets.com 8.8.8.8

Server:     8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
secure.skypeassets.com  canonical name = secure.skypeassets.com.edgekey.net.
secure.skypeassets.com.edgekey.net  canonical name = secure.skypeassets.com.edgekey.net.globalredir.akadns.net.
secure.skypeassets.com.edgekey.net.globalredir.akadns.net   canonical name = e7766.b.akamaiedge.net.
Name:   e7766.b.akamaiedge.net
Address: 23.206.91.11

最后一行的 IP 地址肯定可以不同没有造成问题,但也许你碰巧发现了一个不应该使用的 IP 地址。

答案2

可能有人正在实施某种中间人攻击。登录路由器并检查谁连接了。如果发现可疑机器,只需更改您的 wifi 密码并确保使用 WPA 加密

答案3

由于问题仅在通过路由器连接时发生,因此该路由器可能会干扰您的流量。该特定错误意味着您的计算机所看到的站点正在提供适合该站点的 SSL/TLS 证书,但由不受信任/未知的认证机构颁发。本质上,路由器似乎只是制作了一个 CA 密钥并用它来签署证书,试图让自己解密您的 HTTPS 流量。

我找不到任何关于该路由器的设置可以启用此类恶作剧的提及(除了在hertitu 的回答),但我确实发现 D-Link 路由器有恶意固件版本。有关恐怖内容,请参阅嵌入式设备固件的大规模安全性分析(PDF)。可以想象您的路由器被注入了这种不良固件,现在正在监视您。您可以尝试将已知良好的固件刷入路由器,但不良固件可能会阻止此操作。如果刷入固件解决了 HTTPS 问题,请更改路由器管理密码,以确保没有坏人知道。(当固件“升级”是一种选择时,访问路由器就是访问您的流量。)

如果闪存无法解决问题,请购买新路由器。这是唯一可靠的方法!

答案4

看看D-Link DIR-635 用户手册 (pdf),我看到它的访问控制功能中有一个网站过滤器功能选项。我没有使用过这款路由器(因此也不了解该功能),但当启用这些功能时,路由器可能会试图向您显示一个屏幕,上面写着“您无权访问此页面”之类的内容。

相关内容