大家有Firefox上不了京东的么？

我的挺长时间，自从50还是51开始好像京东就不正常了，但是Chrome/IE都行。

> 在网上找了个网址解析
哪个网址？

> 公司电脑
公司有没有上什么防火墙啊网络监控啊安全审计啊之类的设备/措施？

首先
58.83.230.159 上的证书也是 GlobalSign 签的

openssl s_client -showcerts -connect 58.83.230.159:443 -servername www.jd.com | openssl x509 -text

结果

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            5e:fa:29:e3:94:b6:61:4f:c3:20:d9:a2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA - SHA256 - G2
        Validity
            Not Before: Jul  3 09:51:04 2017 GMT
            Not After : Aug 28 09:42:54 2018 GMT
        Subject: C=CN, ST=beijing, L=beijing, O=BEIJING JINGDONG SHANGKE INFORMATION TECHNOLOGY CO., LTD., CN=*.jd.com
......中略
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Organization Validation CA - SHA256 - G2
verify return:1
depth=0 C = CN, ST = beijing, L = beijing, O = "BEIJING JINGDONG SHANGKE INFORMATION TECHNOLOGY CO., LTD.", CN = *.jd.com
verify return:1

但是这张证书和我这里的序列号不同
我测试了 17ce 解析出来的其他 ip：58.20.88.1、111.206.231.1、106.39.178.1、111.13.23.1
结果和我这儿一样序列号为 63:d1:8b:2d:21:27:38:3f:54:99:3b:e7
Not Before 也不同 Jul  3 09:51:04 2017 GMT 对比 Jul  4 05:47:07 2017 GMT
Not After 倒是一样的 Aug 28 09:42:54 2018 GMT

其次
不知道为什么

curl https://www.jd.com/ --resolve www.jd.com:443:58.83.230.159 -v

返回 302

< HTTP/1.1 302 Found
< Cache-Control: no-cache
< Content-length: 0
< Location: http://www.jd.com/?l=1&err=3

而之前的几个 ip 测试结果都正常

果然是哪里有毛病

本地 nslookup 解析出来jd.com是58.83.230.159，在网上找了个网址解析也是这个IP
其他就不清楚为什么给VeriSign了，也许是我公司电脑的原因，下次把笔记本拿到客户那边换个网络试试。

从这个状况看
你那儿 ie、chrome 访问 jd 也是拿到的 VeriSign 签的证书

之前就说过
我这儿和 meteor 在 7 楼给的 ssl labs 的测试结果一致
都是 GlobalSign 给签的证书

通常一个网站不会给同一个域名同时部署来自两家不同证书商的证书（虽然有例外……
所以这里大概有什么问题
nslookup 看看 jd 被你用的 isp 解析到哪里了
以及其他 8.8.8.8、208.67.222.222、114.114.114.114 等公共 dns 的解析结果

至于为什么 VeriSign 签的证书 waterfox 不认而 ie、chrome（以及 firefox nightly？）认
那是另一个问题
先把为什么会是 VeriSign 签的证书解决了再说

aaaa007cn：所以说
为什么会是 VeriSign 签的证书？

之前说 firefox nightly 可以
那么 firefox nightly 中证书是谁签的？

记得 firefox 某个版本开始会主动信任位于 windows 证书管理器中的的 ...回到原帖

我去Windows的证书管理器里面把VeriSign从受信任的证书颁发机构里面删除，结果…IE和Chrome也打不开京东了（捂脸），一样的错误提示。重启之后IE和chrome又好了，证书自动重新下载了。Waterfox还是老样子

所以说
为什么会是 VeriSign 签的证书？

之前说 firefox nightly 可以
那么 firefox nightly 中证书是谁签的？

记得 firefox 某个版本开始会主动信任位于 windows 证书管理器中的的 **自签** 证书 / 根证书
考虑到 chrome / ie 都是使用 windows 证书管理器来验证网站证书的
也许应该先排除掉这个干扰？

装了HTTPS Everywhere，过两天又不行了……

fang5566：只看到jd.hk榜上有名。关键是 ff 没问题，waterfox 有问题回到原帖

有 jd.com-1 jd.com-2 jd.com-3

HTTPS Everywhere 只是强制设置 HSTS
可以通过手动编辑 SiteSecurityServiceState.txt 达到类似效果

ssl labs 的测试结果和我这里一致
证书链为 GlobalSign Root CA → GlobalSign Organization Validation CA - SHA256 - G2 → *.jd.com

而 8 楼说证书是 VeriSign 签的
这显然有问题

根据搜索
黑东确实在 6 年前使用过 VeriSign 的证书

kmc：解决了，跑到Waterfox的Reddit支持论坛去求助，有两个说他们用着没问题，但是有一个建议我装httpsEverywhere这个扩展，装上立马解决，经查，京东在HTTPSEverywhere的规则列表里面榜上有名

https:/...回到原帖

很奇怪，HTTPSEverywhere应该只是重定向到https，应该无关。

只看到jd.hk榜上有名。关键是 ff 没问题，waterfox 有问题

解决了，跑到Waterfox的Reddit支持论坛去求助，有两个说他们用着没问题，但是有一个建议我装httpsEverywhere这个扩展，装上立马解决，经查，京东在HTTPSEverywhere的规则列表里面榜上有名

https://www.eff.org/https-everywhere/atlas/letters/j.html

yfdyh000：点 SEC_ERROR_UNKNOWN_ISSUER （应该是蓝色） 将信息复制出来。
或者在添加例外里面看看证书，签发者是谁。回到原帖

VeriSign签发的但是提示“the issuer is unknown"

https://www.jd.com/?cu=true&utm_source=kong&utm_medium=unionliaotian&utm_campaign=t_1000087339_&utm_term=c63a6e4ba48c4ca0be98b5adee0c0191&abt=3 Peer’s Certificate issuer is not recognized. HTTP Strict Transport Security: false HTTP Public Key Pinning: false


@fang5566
删除了cert8.db依然不行，事实上Waterfox 55空配置都不行，下载来了个Firefox 55 nightly就可以，看来是Waterfox的问题。

京东的证书没问题的
https://www.ssllabs.com/ssltest/analyze.html?d=www.jd.com