🖥 一则 CA 根证书信任链笑话 -- 具有巴西特色的 “CNNIC” 安全事故

TL;DR: 一家来自巴西的 「金融&银行机构」 行业的 CA 根证书服务商于今年 11 月 28 号 「不小心」 为 google.com 颁发了一张的错误证书，Firefox 和 Google 在此前早已联网吊销了这家根证书，只有微软从始至终没有任何响应。

首先需要理解一些概念：

1. 这家巴西根证书 CA 服务商由 巴西国家信息技术研究所 (ITI) （直属于巴西总统府民政院)，具有国家背景，可以粗略的理解为 CNNIC （中国互联网络信息中心） 的巴西翻版。
2. 根证书是构建 HTTPS 系统的一个重要链条，如果根证书被系统信任，那么根证书颁发的任何中间证书和子证书也会被系统无条件信任，非常容易遭到中间人攻击 (MIIT) 。
3. 不过 Firefox 和 Google Chrome 浏览器不会被影响，因为这些浏览器采用了内置的根证书库，并且会定时联网同步所有证书的吊销信息（所以 Google 和 Mozilla 也可以手动吊销任何一个证书）。

目前网络上的相关分析都比较浅，笔者将更深入地研究一下时间线：

2019-07-02 Raiz Brasileira Certification Authority v10 (ICP-Brasil) 根证书成功被 「Microsoft Trusted Root Program」 （微软可信根证书计划）信任，并成功更新给全球所有的 Windows 设备。

2020-11-01 尝试将根证书超级签纳入 Mozilla (Firefox) 证书信任链，结果 由于实现不合规而被拒绝。

2022-11-17 CCADB 对于 ICP-Brasil (SERPRO) 的 公开讨论，整体讨论氛围非常激烈，ICP-Brasil 一直重述 「只应该，也保证只会为巴西的域名 (*.br) 颁发证书」，但是实际上一直偷偷给 IP 和一些 .com 域名颁发证书。

2024-11-18 ICP-Brasil 为 GOOGLE PAY BRASIL INSTITUICAO DE PAGAMENTO LTDA (应该是 Google Pay 的巴西实体公司) 颁发了一张 google.com 的证书，意味着巴西政府正式可以针对 Windows 用户劫持并对 google.com 中间人攻击。

与当年 CNNIC 「不小心颁发」了 github.com （感谢勘误，是 gmail.com ）证书有着异曲同工之妙。


Source1 [小动作被发现]: https://bugzilla.mozilla.org/show_bug.cgi?id=1934361
Source2 [尝试加入 Firefox 根证书信任链被拒]: https://bugzilla.mozilla.org/show_bug.cgi?id=1674669
Source3 [错误证书的圣地巡回]: https://crt.sh/?id=15538340482
Source4 [研究人员向微软反馈多次无果]: https://follow.agwa.name/notice/AoZSMI38xcA3TrN1sm
Source5 [CCADB 中相关的公开讨论]: https://groups.google.com/a/ccadb.org/g/public/c/Mux855BsRg4/m/eZDA1BKiAAAJ

Tags: #网络安全@affyes #信任链危机@affyes #安全事故@affyes #中间人攻击@affyes #微软笑话@affyes

✅ 本条消息由 AFF Channel (@affyes) 原创撰写，不含任何 AI 成分，请放心食用，转发请保留尾部声明，感谢支持。

✅ 频道 https://t.me/affyes
✅ 群组 https://t.me/affyes_chat

💻 Hetzner Cloud 老用户可领取 10 EUR 余额，新用户可领 50 EUR !

GitHub 开源项目 coollabsio/coolify Coolify (Heroku / Vercel 开源替代) 与 Hetzner Cloud 合作，放出一个新老用户均可用的 10 EUR （欧元） 兑换码，并且额外赠送与 VAT 税相当的额外余额（如有）。

10EUR 余额兑换码（已承担 VAT 税）：CoolifyXHetzner10

可前往 https://console.hetzner.cloud/usage 下方的 Redeem Code 按钮输入兑换码领取余额。

截止发稿时间，笔者成功兑换了 10EUR 余额。

如果您是新用户，还可额外享受 20EUR 的赠额 (需要通过推介链接注册才有效)，加起来就是 30EUR 有效余额。

https://affyes.link/store/hetzner-cloud 从此链接注册账号额外获得 20EUR (欧元) 余额

新用户注册后可以再使用 HCC24-L7ST92 兑换码获得 20 EUR (欧元) 的余额，共计 50 EUR 欧元，约合人民币 382.56 元。

🟢 以下是 Hetzner Cloud VPS 价格一览，性价比还是非常高的：

🔵Intel 至强 Xeon Gold 系列:

型号 核心 内存 NVMe SSD 每月价格
CX22 2c 4 GB 40 GB €3.29
CX32 4c 8 GB 80 GB €6.30
CX42 8c 16 GB 160 GB €15.90

🔴 AMD EPYC 7002 系列 （CPU 性能更强）:

型号 核心 内存 NVMe SSD 每月价格
CPX22 2c 2 GB 40 GB €3.85
CPX32 3c 4 GB 80 GB €7.05
CPX42 4c 8 GB 160 GB €13.10
CPX42 8c 16 GB 240 GB €24.70

⚫️Ampere ARM 系列 （是 ARM 不是 x64，优点是便宜 甲骨文 ARM 同款）:

型号 核心 内存 NVMe SSD 每月价格
CAX22 2c 4 GB 40 GB €3.29
CAX32 4c 8 GB 80 GB €5.99
CAX42 8c 16 GB 160 GB €11.99
CAX42 16c 32 GB 320 GB €23.99

所有 VPS 机型都按小时计费，随开随用，随删随停，德国区域免费每个月 20TB 流量

✅ 本条消息由 AFF Channel (@affyes) 撰写，不含任何 AI 成分，请放心食用，转发请保留尾部声明，感谢支持。

✅ 频道 https://t.me/affyes
✅ 群组 https://t.me/affyes_chat

📱 对一些关于 OnlyFans “被解封” 的一些澄清和理性思考

CNN 科技板块在 2024-12-05 刊登了一篇文章 「OnlyFans is now accessible in China」 （《OnlyFans 在中国解禁》）

引用一下文中的片段 （已翻译为中文）：

监测中国互联网自由的组织 GreatFire.org 表示，OnlyFans 已于 11 月 29 日在中国互联网解封。该网站过去虽在中国境内偶有短暂的访问窗口，但此次解封持续时间似乎更长。

这位香港记者 (Juliana Liu) 对春秋笔法的运用可谓是达到了出神入化的境界，也难怪担任着 CNN 商业板块 亚洲总编。

首先，从引用的信源 https://en.greatfire.org/~ 来看，OnlyFans 在过去四年里被 "Blocked" (封禁) 和 "Restricted" (被污染、阻断) 的比率都是 0%，也就是在 2020 ~ 2024 这几年里 OnlyFans 从未被 污染、阻断 甚至被封禁过。

当然也有读者表示疑惑：“和这位记者说的一样，确实只有偶尔显示为绿色 (未被封禁)，有没有可能就是偶尔解封而已？”

以下是信源网站的图例：

🔴 Blocked (被 GFW 封禁)
🟡 Otherwise restricted （被 GFW 污染或者阻断）
🟠 Contradictory (中立，小部分地区被干扰)
🟢 No censorship detected (完全正常)
⚪ Not enough data (暂无数据)

实际上，en.greatfire.org 并不是保持一天一次的频率对所有网站监控，灰色块表示缺乏数据，并不等同于被封禁。

但凡这位 CNN 香港记者能遵循职业操守，做到最基本的事实核查义务，就不可能会出现这种原则性的错误报道，当然也很符合我对 CNN 的一些刻板印象 「你们这些记者啊，总想搞一些大新闻」。

而一些 TG 中文新闻频道的小编也对投稿来者不拒，没有做到事实核查的义务，反而是随波逐流、跟着墙内的节奏走，也是令笔者有一些 “忍俊不禁”，希望各位订阅本频道的读者都能够养成对任何新闻都进行 事实核查 的好习惯。

按理来说，本消息应该也算是 （？） 一条科技资讯吧，如果文章内容中有任何纰漏，欢迎反馈。

✅ 本条消息由 AFF Channel (@affyes) 撰写，不含任何 AI 成分，请放心食用，转发请保留尾部声明，感谢支持。

✅ 频道 https://t.me/affyes
✅ 群组 https://t.me/affyes_chat

🔵 IDC 新闻速报 | 2024-12-10

援引某IDC业内人士透露的消息，某上游供应商近日向三大运营商提交了大量针对其前下游 IDC 客户的投诉，这将导致 TG 中文圈部分 IDC服务商开始一波国内网络质量下滑的大趋势。笔者接到投稿后第一时间对这条消息进行事实核查，确实发现很小一部分 TG IDC 下游的 “电信去程优化” 产品已被空路由或已调整路线。

根据部分未经证实的小道消息，某家上游供应商同时也对购买了其国内三大优化线路的 IDC 客户回程方向采用了「特殊的方式」降低成本，并且可能还拖欠着大量欠款还未缴清。

TL;DR 简而言之：某上游供应商恶意投诉前客户，并不按照承诺降低 IDC 现客户的线路质量，不但导致市场竞争环境恶化，并且还背刺了现有的 IDC 客户。


「本文根据信源要求使用 AI 重写内容以尽可能地匿名语气和风格，本频道 (@affyes) 小编已尽可能使用通俗的语言重写，请各位订户见谅」

「本文是投稿消息，并不代表本频道及小编的观点，本频道仅负责整理投稿和整合部分公开信息」

✅ 频道 https://t.me/affyes
✅ 群组 https://t.me/affyes_chat

⚪️ 互联网速报 | Vercel 扩充新的 IP 段

Vercel 的 cname.vercel-dns.com 开始混入来自 66.33.60.0/24 的解析，目前每次解析均返回一组 76.76.21.x 和 66.33.60.x 的 A 解析。

经 WHOIS 查询，此 C 段的 ARIN 注册网络名为 VERCEL-02，分配于 2024-03-21，大约于最近几日 （2024-12-21）左右开始使用，截至发稿时 Vercel 官网文档还未作更新。

背景知识：此前 Vercel 一直只有 76.76.21.0/24 一个 C 段，不过可惜由于受到 AWS AGA 上游限制，目前 Vercel 仍然不支持 IPv6。

#Vercel #CDN #ARIN

✅ 本条消息由 AFF Channel (@affyes) 撰写，不含任何 AI 成分，请放心食用，转发请保留尾部声明，感谢支持。

✅ 频道 https://t.me/affyes
✅ 群组 https://t.me/affyes_chat

⏺危险！ GitLab.com 国际站将在 60 日内删除中国大陆、香港、澳门的开发者账户

近日吃到的极狐的瓜比较多，慢慢梳理一下：

首先，极狐 (Jihu, GitLab.cn) 向 GitLab 公司购买了在中国大陆、香港、澳门的具有排他性的唯一授权，但一直以来 中(港澳) 地区在两个平台都可以注册账号，账号系统不互通、GitLab 和极狐的公司实体相互独立且互不隶属。

- 2024/12/06 前极狐员工 【致极狐GitLab全体员工：一起开除老板】 (存档链接) 控诉新上任 CEO 柳钢的几个错误决策：

1. 2024 年 1 月起取消 GitLab 国区的所有免费服务，免费用户在 90 天后如果不选择付费（ 1500CNY / 年以上）套餐，将会被封禁账号。

2. 大幅裁减研发团队，从上任前的几十人缩减到柳钢上任后的 3 人，剩下的都是销售类岗位，所以极狐几乎没有开发 GitLab 新特性的能力。

3. 推翻 GitLab 一直提倡的远程办公策略，强制线下办公，返祖行为。

4. 臭名昭著的 “绝户网计划” （下文会见到）

- 绝户网计划：指极狐向所有使用 GitLab 开源版本（使用开放的开源协议 MIT）的公司发送律师函，恐吓这些公司：如果你不买极狐的授权，就会发起版权诉讼。

❌ 如果你选择跟随 GitLab.com 的指引迁移到极狐，由于极狐没有免费使用策略，免费账号将在 90 天后删除。


遣返中文文案：

我们建议您注册极狐。极狐是一家独立经营运作的公司，具有上述地区内 GitLab 产品的永久唯一独家授权，并向用户提供本地化的 GitLab 产品，极狐 GitLab 产品专为帮助本地用户体验而量身定制。

如果您属于 GitLab.com 现有的付费客户或用户组，请联系您的管理员以向您发送注册邀请。

英文原文：

Please be advised that GitLab can no longer service GitLab.com accounts for individuals and organizations located in Mainland China, Macao, and Hong Kong. Our system indicates that you are visiting GitLab from one of these locations. We advise you to sign up with JiHu %{jihu_link}. JiHu is an independent company with a localized GitLab offering that has an exclusive right to provide GitLab to individuals and organizations located in this region. You must complete the transition by %{deadline}, after which GitLab will delete your account from our systems. If you believe you are receiving this notification in error, please log in to GitLab.com from a supported service location. For further information or support, please feel free to contact saasmigration@gitlab.cn.

（原文 commit 传送门）

强制遣返页面： https://gitlab.com/users/identity_verification/restricted

🎉 DMIT 2024 圣诞促销 一文汇总

🇭🇰 香港区域

🇭🇰 DMIT HKG Pro - Victoria 大陆极致优化线路

1 CPU, 2G 内存, 60GB NVMe SSD
500 Mbps 带宽 @ 500 GB 双向*计费

去程线路：CN2 GIA + CMIN2 + 4837 +
回程线路：四网 （电信/联通/移动/教育网）CN2 GIA

$298.88 USD / 年 购买链接

🇭🇰 DMIT HKG Tier1 - WEE 国际线路优化线路

1 CPU, 1G 内存, 20GB NVMe SSD
10 Gbps (万兆) 带宽 @ 1TB 单向取高*计费

接入线路：RETN (欧洲优化*) +Lumen (经 RETN)+NTT+Cogent
年付优惠码： T1-WEE-CHRISTMAS-2024-ANNUALLY-10OFF

折后仅需 $33.21 USD / 年 购买链接

🇭🇰 DMIT HKG EB - WEEv2 高性价比补货

1 vCPU, 1GB 内存, 20GB SSD
500 Mbps 带宽 @ 450G 双向计费

线路：Tier1 国际优化+CMI 移动优化 (尽力保证)

$179.9 USD / 年 购买链接

🇯🇵 DMIT TYO (东京) T1 - WEE 国际线路优化线路

1 CPU, 1G 内存, 20GB NVMe SSD
10 Gbps (万兆) 带宽 @ 1TB 单向取高*计费

接入线路：RETN (欧洲优化*) + NTT
年付优惠码： T1-WEE-CHRISTMAS-2024-ANNUALLY-10OFF

折后仅需 $33.21 USD / 年 购买链接

写文不易，如果觉得我写的指南对你选购有所帮助，还请点击下方 aff 链接注册账号，感谢！

https://affyes.link/store/dmit

通过链接注册账号后再访问以上购买链接选购产品。

点击我的 aff 链接并不会为您带来产品溢价，但是您的消费会给我带来一定的佣金支持，再次感谢！

* 单向取高：例如入向流量 120GB+出向流量 200GB，则取最高的出向流量 200GB 计费。

*: DMIT 欧亚低延迟骨干 参考值：

香港 -> 俄罗斯 莫斯科 RETN 115~119 ms
香港 -> 德国 柏林 RETN 144~145 ms

欧亚非低延迟骨干 参考值：
香港 -> 德国 柏林 195ms+ (海缆) 245ms+ (绕美)

更多可见本频道 (此消息)

📱 GitHub 2025 年首炸

影响范围：git pull / git push / git clone 等命令，以及部分 GitHub Actions / Pages 自动化业务。

* 虽然 GitHub 在历史上爆炸比较常见，属于月经话题，不过这次确实是 2025 首炸，很有意义，不是吗？


某个频道主还以为是 git / ssh 环境配炸了，怀疑过网络问题、git 环境问题、安全软件问题，甚至怀疑过自己的 GitHub 是不是被删号了，浪费了半个小时重新构建了一份 ssh config 和 git ssh-key 签名，就是没考虑过 GitHub 炸了，在新的一年里警钟撅烂。

事件跟踪链接 https://www.githubstatus.com/incidents/qd96yfgvmcf9

2025-01-14 07:44 (UTC+8) 时间开始出现问题，截止发稿时间仍未解决。


--- Update

截止 2025-01-14 08:24 (UTC+8) GitHub 已恢复，用时 49 分钟，大约 1/6 个尹锡悦时。

On January 13, 2025, between 23:35 UTC and 00:24 UTC all Git operations were unavailable due to a configuration change causing our internal load balancer to drop requests between services that Git relies upon.

🔴 Rsync 重大安全漏洞

TL;DR

❗️ 影响后果：远程代码执行 (RCE)，只要有读取权限即可在你的 Rsync 服务器上执行任意代码（修改读取执行任何文件）影响极大

🚨 影响范围：所有公开 Rsync 服务器（即使只开启匿名读取权限）

鉴于影响范围之大、影响后果之严重，请各位订户对所有对外开放的 Rsync （例如各种镜像站） 服务立即更新 rsync 至 3.4.0-1 版本，或者关闭对外访问权限。

各位订户如果有在 rsync 对外开放读取权限的服务器上任意位置有放任何机密文件（例如 ssh-key pgp key 或 SSL 证书），也请立即吊销并轮换密钥。

从目前的消息来看，应该不会存在提权风险，不过笔者仍然建议谨慎对待。

#供应链危机 #安全漏洞 #RCE #Rsync

AFF Channel 祝各位订户 新年快乐！

春风入户财源广，瑞气临门福泽长。

一点小心意，欢迎各位订户下载 币安 APP 扫描二维码领取红包！

或者输入口令 2X49W5W9

有效期 24 小时

Ps: 领了的评论区吱个声呀！🧐

最近写完了一套 Cloudflare 的 Custom Pages , 应该是第一次开源前端项目，献丑了 🐈

使用技术栈:

- Next.js 15 + ⚛️ React 19 + 🖥 TypeScript
- HeroUI v2 + Tailwind CSS v3

食用方法可参阅 🇬🇧 英文 🇨🇳 中文

经过测试，项目中所使用的所有分类的页面均可在 Cloudflare 中正常导入，并已适配所有自定义页面类型。

🖥 开源仓库: https://github.com/Alice39s/cloudflare-custom-pages-nextjs

🟢 DMIT LAX (洛杉矶) 地区正式推行 达量限速 政策

具体达量后限速多少，依据配置不同而定：

- Intro WEE 等低配促销机型超量后限速 2Mbps
- Tiny Pocket 等常规机型限速 4Mbps
- Mini Micro 机型超量限速 8Mbps
- Medium Large Giant 等大机型限速 10Mbps

🐟 特定附上 带宽:流量 对照表：

- 2Mbps : 648GB
- 4Mbps : 1.296 TB
- 8Mbps : 2.592 TB
- 10Mbps : 3.24 TB

相当于 DMIT 给 LAX 每台机子每个月都额外送 1~2 TB ❤️

———

DMIT LAX 是第二次升级配置了，上一次在这里，升级了硬件，这次又变相赠送流量。

对于产品线解析可以看这里 https://t.me/affyes/68

🟢 突发新闻: 知名域名注册商 Namesilo 主域 404

https://www.namesilo.com/ 整个主域 404

不仅首页，主域下的管理面板也都不可用，笔者托管在 Namesilo 域名的 whois 目前运行良好，应该只影响控制面板

事件追踪：
14:01 观测到 Namesilo 全站 404
14:12 更新: 已恢复

#生产事故 #Namesilo