(図1)
dig download.cdn.mozilla.net の結果。
( 画像サイズ 313.03 KB )
;; ANSWER SECTION:
download.cdn.mozilla.net. 76 IN CNAME 2-01-2967-001b.cdx.cedexis.net.
2-01-2967-001b.cdx.cedexis.net. 21 IN CNAME wildcard.cdn.mozilla.net.edgesuite.net.
wildcard.cdn.mozilla.net.edgesuite.net. 3600 IN CNAME a1284.g.akamai.net.
a1284.g.akamai.net. 20 IN A 210.149.135.14
a1284.g.akamai.net. 17 IN A 210.149.135.102
a1284.g.akamai.net. 17 IN A 210.149.135.86
Akamai さんで 3台 2台。 クラス C アドレス。 CNAME の CNAME ですかー。
■ download-installer.cdn.mozilla.net
(図2)
dig download-installer.cdn.mozilla.net の結果。
( 画像サイズ 521.42 KB )
;; ANSWER SECTION:
download-installer.cdn.mozilla.net. 60 IN CNAME dn6m9t4qll5h.cloudfront.net.
dn6m9t4qll5h.cloudfront.net. 60 IN A 54.192.235.21
CloudFront.net と云う事で、Amazon さんに 1 台。 クラス A アドレス。
■ download-origin.cdn.mozilla.net
(図3)
dig download-origin.cdn.mozilla.net の結果。
( 画像サイズ 518.64 KB )
;; ANSWER SECTION:
download-origin.cdn.mozilla.net. 60 IN CNAME d1jf4dsd4mbwm8.cloudfront.net.
d1jf4dsd4mbwm8.cloudfront.net. 60 IN A 54.230.235.59
同じく CloudFront.net と云う事で、Amazon さんに 1 台。 第3オクテットまで同じ。
アマゾンさんが優秀なのか、それとも複数台になったら AWS でも発生するかもしれないのか、どっちでしょうね。
Mozilla さん向けの Akamai エッジサーバ名称に wildcard とあると云う事は、証明書はワイルドカード前提と推測。
■ download.cdn.mozilla.net の SSL エラー
(図4)
dig download-origin.cdn.mozilla.net の結果。
( 画像サイズ 193.12 KB )
この証明書は次のドメイン名にだけ有効なものです: a248.e.akamai.net, *.akamaihd.net, *.akamaihd-staging.net, *.akamaized.net, *.akamaized-staging.net
ああ、なるほど。 a1284.g.akamai.net はどれにも一致しないですね。 (w
CDN エッジに a248.e.akamai.net が割り振られたときはたまたまOKになります ?!
ここは、
*.akamai.net, *.akamaihd.net, *.akamaihd-staging.net, *.akamaized.net, *.akamaized-staging.net
で、証明書を発行すべきだったのではないでしょうか。 ( 末尾に追記@2016/01/11 )
しかしまあ、発行者がミスったか、CDN サーバへの導入者が取り違えたか、それとも CDN 業者の割り振りロジックにおける問題なのか、そのあたりははっきりしませんね。
(関連)
Fortify https://www.fortify.net/sslcheck.html
> Fortify - SSL Encryption Check
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20160107/1452158300
※ Firefox 43.0.4
http://d.hatena.ne.jp/TsuSUZUKI/20140908/1410153256
※ JPIX 内の NTP サーバー
http://d.hatena.ne.jp/TsuSUZUKI/20140604/1401873515
※ Adobe Shockwave Player バージョン 12.1.2.152
http://d.hatena.ne.jp/TsuSUZUKI/20121214/1355443772
※ pop3.live.com 受信不可 - SSL エラー
http://d.hatena.ne.jp/TsuSUZUKI/20120308/1331160476
※ 署名の検証に失敗しました
http://d.hatena.ne.jp/TsuSUZUKI/20110809/1312879357
※ 続・QuickTime 7.7 リリース
ふむ、意外と証明書のトラブルって多い感じです。
・・・
(追記@2016/01/11)
ワイルドカードに気を取られてしまい、気付くのが遅れましたが。
download-origin.cdn.mozilla.net 使用のサーバー証明書では、 Alt Name に以下サーバー群が含められています。
Not Critical
DNS Name: ftp.mozilla.org
DNS Name: ftp.prod.mozaws.net
DNS Name: archive.mozilla.org
DNS Name: ftp-ssl.mozilla.org
DNS Name: ftp-test.mozilla.org
DNS Name: ftp-cluster.mozilla.org
DNS Name: stage.mozilla.org
DNS Name: stage-rsync.mozilla.org
DNS Name: releases.mozilla.org
DNS Name: download-origin.cdn.mozilla.net
DNS Name: download-installer-origin.cdn.mozilla.net
origin.cdn.mozilla.net download.cdn.mozilla.net 用の証明書が、「 origin.cdn.mozilla.net download.cdn.mozilla.net 自身とこれらを含んでいないらしい 」 のは、やっぱりなにかおかしいですね。
・・・
(追記@2016/01/26)
ZDNet Japan http://japan.zdnet.com/article/35076714/
> AWS、無料でSSL証明書を発行するサービス--証明書管理ツールも提供 - ZDNet Japan
いじょうです。
-
- -
