Странный CERT_DOMAIN в RealiTLScanner

flynt-3650 · December 26, 2024, 9:29am

всем привет, имеется self-hosted VPN на VLESS + REALITY с мимикрией под hbo.com. при попытке прозвонить мой IP через RealiTLScanner, вылазит какой-то вообще левый домен не имеющиий никакого отношения к HBO (наверное). в чём может быть проблема или всё так и должно быть? настройка инбаунда и результат скана на скринах. Flow у клиента, естественно XTLS RPRX VISION

spotted_giraffe · December 26, 2024, 9:56am

curl -v --resolve hbo.com:443:<ваш IP> https://hbo.com

А это команда хорошо отрабатывает?

flynt-3650 · December 26, 2024, 10:40am

ну вроде как да

λ ~/ curl -v --resolve hbo.com:443:<IP_REMOVED> https://hbo.com
* Added hbo.com:443:<IP_REMOVED> to DNS cache
* Hostname hbo.com was found in DNS cache
*   Trying <IP_REMOVED>:443...
* Connected to hbo.com (<IP_REMOVED>) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=hbo.com
*  start date: May 18 17:15:33 2024 GMT
*  expire date: Jun 19 17:15:32 2025 GMT
*  subjectAltName: host "hbo.com" matched cert's "hbo.com"
*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign Atlas R3 DV TLS CA 2024 Q2
*  SSL certificate verify ok.
* Using HTTP2, server supports multiplexing
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* Using Stream ID: 1 (easy handle 0x557aa4481eb0)
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
> GET / HTTP/2
> Host: hbo.com
> user-agent: curl/7.81.0
> accept: */*
>
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
< HTTP/2 308
< server: Varnish
< retry-after: 0
< location: https://www.hbo.com/
< accept-ranges: bytes
< date: Thu, 26 Dec 2024 10:36:13 GMT
< via: 1.1 varnish
< x-served-by: cache-fra-eddf8230081-FRA
< x-cache: HIT
< x-cache-hits: 0
< x-timer: S1735209374.538981,VS0,VE0
< set-cookie: countryCode=DE; Domain=.hbo.com; Path=/; SameSite=Lax
< set-cookie: stateCode=HE; Domain=.hbo.com; Path=/; SameSite=Lax
< set-cookie: geoData=frankfurt am main|HE|60313|DE|EU|100|broadband|50.110|8.680; Domain=.hbo.com; Path=/; SameSite=Lax
< x-gep-countrycode: DE
< strict-transport-security: max-age=31536000;
< normalized-language: en
< alt-svc: h3=":443";ma=86400,h3-29=":443";ma=86400,h3-27=":443";ma=86400
< content-length: 0
<
* Connection #0 to host hbo.com left intact

spotted_giraffe · December 26, 2024, 11:16am

Да вроде все в порядке, по крайней мере так проверяют корректность реалити если не ошибаюсь. Можно попробовать еще в файл hosts прописать IP вашего VPS и url сайта. Если в браузере откроется, то настроено все правильно

spotted_giraffe · December 26, 2024, 11:20am

github.com/pypi/support

files.pythonhosted.org serves invalid certificate

opened 09:57AM - 14 Dec 23 UTC

closed 03:34PM - 20 Dec 23 UTC

arnaudsjs

network

**Describe the bug** Executing pip sometimes fails with the following warning/error: ``` 08:56:41 python3.11 -m venv /opt/venv 08:56:41 + /opt/venv/bin/pip3 install -U pip wheel setuptools 08:56:41 Requirement already satisfied: pip in /opt/venv/lib64/python3.11/site-packages (22.3.1) 08:56:41 Collecting pip 08:56:41 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:41 WARNING: Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:42 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:42 WARNING: Retrying (Retry(total=3, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:42 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:43 WARNING: Retrying (Retry(total=2, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:43 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:45 WARNING: Retrying (Retry(total=1, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:45 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:49 WARNING: Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))': /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl 08:56:49 WARNING: Certificate did not match expected hostname: files.pythonhosted.org. Certificate: {'subject': ((('commonName', 'm.sni-311-default.ssl.fastly.net'),),), 'issuer': ((('countryName', 'US'),), (('organizationName', 'Certainly'),), (('commonName', 'Certainly Intermediate R1'),)), 'version': 3, 'serialNumber': 'DB3FF7E06E8CBBFC07727137DF9FB698A0B4', 'notBefore': 'Nov 28 05:32:06 2023 GMT', 'notAfter': 'Dec 28 05:32:05 2023 GMT', 'subjectAltName': (('DNS', 'm.sni-311-default.ssl.fastly.net'),), 'OCSP': ('http://ocsp.int-r1.certainly.com/',), 'caIssuers': ('http://int-r1.certainly.com/',)} 08:56:49 ERROR: Could not install packages due to an OSError: HTTPSConnectionPool(host='files.pythonhosted.org', port=443): Max retries exceeded with url: /packages/47/6a/453160888fab7c6a432a6e25f8afe6256d0d9f2cbd25971021da6491d899/pip-23.3.1-py3-none-any.whl (Caused by SSLError(CertificateError("hostname 'files.pythonhosted.org' doesn't match 'm.sni-311-default.ssl.fastly.net'"))) 08:56:49 ``` It doesn't consistently fails, sometimes the certificate validation also just works. **Expected behavior** The certificate validation succeeds consistently. **To Reproduce** See output snippet above. **My Platform** * OS: Rocky Linux 8 * Version openssl package: openssl==1:1.1.1k-9.el8_7

Вот тут обсуждалось что-то похожее, связали с проблемой DNS, возвращает неверный сертификат для files.pythonhosted.org

Выполните dig hbo.com для интереса

flynt-3650 · December 26, 2024, 11:28am

т.е. если РКН захочет пробить мой сервер, то там его будут ждать всё-таки валидные серты от HBO?

flynt-3650 · December 26, 2024, 11:29am

λ ~/ dig hbo.com

; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <<>> hbo.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48481
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;hbo.com.                       IN      A

;; ANSWER SECTION:
hbo.com.                295     IN      A       151.101.65.55
hbo.com.                295     IN      A       151.101.129.55
hbo.com.                295     IN      A       151.101.1.55
hbo.com.                295     IN      A       151.101.193.55

;; Query time: 10 msec
;; SERVER: 10.255.255.254#53(10.255.255.254) (UDP)
;; WHEN: Thu Dec 26 14:24:15 EAT 2024
;; MSG SIZE  rcvd: 100

spotted_giraffe · December 26, 2024, 11:42am

Не должно их смущать, ресолвится на ваш адрес все как нужно. А вы curl и dig где выполняли, на своей машине или на VPS где запущена панель?

На всякий случай упомяну, что в случае серьезного Active Probing озаботится только ресолвом хоста это не все. Должны совпадать при сканировании порты, все что открыто открыто так же, что закрыто, аналогично. Реалити работает на порте 443, но если например сайт под который вы мимикрируете работает на 80 порту, то его тоже придется держать открытым и настроить iptables, чтобы трафик с него гоняло на реальный сервер hbo

flynt-3650 · December 26, 2024, 11:47am

на своей. спасибо за статью, ознакомлюсь)

spotted_giraffe · December 26, 2024, 11:50am

А попробуйте на самом сервере, если панель конечно не в докере каком-нибудь. Может он там вернет лишний серт, а панель просто подхватывает последний что находит

flynt-3650 · December 26, 2024, 11:51am

ну вообще панель в докере, это может быть проблемой?

flynt-3650 · December 26, 2024, 11:54am

а, ну да

/app # dig hbo.com
sh: dig: not found
/app # apt install dig
sh: apt: not found
/app #

spotted_giraffe · December 26, 2024, 12:08pm

Ну в теории можно туда поставить все, но геморно. Оставьте тогда как есть, главное в остальных случаях ресолвится

flynt-3650 · December 26, 2024, 12:17pm

т.е. в целом всё норм?

проверил порты, собственно, у HBO открыты 80 и 443, надо будет тоже открыть))

огромное спасибо за оказанную помощь!

spotted_giraffe · December 26, 2024, 12:21pm

Норм. Откройте и настройте прероутинг, в статье написано как это можно сделать. Ну и 22 порт надеюсь у вас будет где-то повыше)

flynt-3650 · December 26, 2024, 12:23pm

окей))
порт естественно сильно выше, но я его там как-нибудь сокрою тоже