某些客户端无法通过 SSL 连接到我的网站

某些客户端无法通过 SSL 连接到我的网站

我有一个使用经过验证的 SSL 的网站。除了一件事之外,一切都很好。在我们国家,有一家移动互联网提供商,其客户无法访问我们的网站。当他们尝试通过移动网络访问我的网站时,却无法访问。在他们报告之后,我自己尝试了一下,结果相同。FTP、:80、SSL 10000 端口都正常。但只有 SSL 443 会超时。无法访问我的服务器。我检查了服务器日志,没有发现来自这些 IP 的日志条目,所以这意味着他们的请求没有到达我的服务器。尝试几秒钟后就超时了。我联系了移动提供商的支持人员,他们进行了调查并向我保证他们没有阻止我的专用服务器的任何端口或主机名。还有一个奇怪的事实:只有 60-70% 的客户无法连接到我的 SSL 网站,其他 30-40% 的客户可以毫无问题地连接。有什么方法可以找到问题的真正原因吗?telnet、ping、traceroute、dns 和网络结构检查都没有给出任何结果。如果问题出在移动提供商的网络上,我必须向他们证明这一点,否则他们会否认自己的错误并建议我再次检查我的服务器结构。

答案1

广义问题

信任链中指定的 CRL 已超时。 查看 SLL LABS。还有一个锚点问题。 一些浏览器插件可能会基于此进行阻止。 Mac OS X 和 IOS 都有阻止无法访问的 CRL/OCSP 的选项。

您应该联系 Comodo 或您的 SSL 证书经销商并寻求帮助。向他们提供 SSL Labs 链接。

移动提供商调试

移动服务提供商几乎总是通过其运营商代理。 这对于移动用户来说通常是透明的,因为他们的设备上安装了证书来信任运营商的代理。 他们的客户必须联系该提供商并要求他们调查此事。他们的代理日志将包含更多详细信息。移动提供商也可能阻止了对您的托管提供商的访问,反之亦然。

答案2

您可以尝试使用以下方法查明问题tcptraceroute或者tracetcp它将使用给定端口上的 TCP 连接尝试来跟踪路由,因此它们对仅影响一个端口的问题很敏感。

另外,请检查相关移动提供商是否已设置强制或透明的 Web 代理。一些提供商会使用此功能来压缩图形,以减少移动网络上的带宽消耗。

相关内容