西山和広です。
On Fri, 03 Nov 2017 20:31:17 +0900, KISE Hiroshi wrote:
https://www.debian.org/security/dsa.rdf ではどうでしょうか。
今は正常なサーバーに繋がっていたので、 /etc/hosts で 2001:41c8:1000:21::21:4 www.debian.org に固定して試して見たところ、https だと大丈夫でした。
あるサーバーから RSS をチェックしているとたまに 404 Not Found が出ていて、
逆に、OKな場合もありますか?
OK なときはちゃんと https にリダイレクトされて情報が取れています。 (たぶん繋がっている IP アドレスが違う。)
問題がおきているサーバーからアクセスすると以下のような感じになっています。
私のマシンからでも
- Connected to www.debian.org (5.153.231.4) port 80 (#0)
ではありますが(IPv4環境なので)、
< HTTP/1.1 404 Not Found
となります。
普通のウェブブラウザでHTTPアクセスすると、HTTPSに、つまり対応する https://www.debian.org/%E3%80%9C にリダイレクトされるので、HTTP側は もうメンテされていないのでは、と思われます。
なるほど。
https でアクセスした時の応答ヘッダーをよく見てみると HSTS (HTTP Strict Transport Security) が Strict-Transport-Security: max-age=15552000 と設定されるようなので、ブラウザーでみるときには一度正常に https に繋がってしまうと、HSTS を覚えてしまって http に アクセスしにいかないので、普通は問題が起きなさそうな感じに 見えました。
curlは、-Lオプションを付けないとき、レスポンス302でリダイレクト しないようです。
これは問題の切り分けのためリダイレクトを追いかけないように curl を使っているだけで、実際に使っている RSS チェッカーは ruby の open-uri を使っているので、リダイレクトに対応しています。
結論としては、 ・www.debian.orgのウェブサービスはHTTPS化された ・HTTPアクセスはHTTPSに302リダイレクトされる ・「RSSをチェックしている」プログラムが302リダイレクト非対応 ということでしょうか。
- HTTPS 化されて HTTP 側がちゃんとメンテナンスされていないミラーがある - 正常に https で見たことのある HSTS 対応ブラウザーを使うと http に つなぎに行かないので、問題に気づかない - RSS チェッカーは HSTS に対応していないので毎回 http にアクセスしに いって、ちゃんとメンテナンスされていないミラーにあたると、ちゃんと リダイレクトされずに 404 エラー
ということのようです。
とりあえず手元では https にすれば回避できる(し、その方が安全)と わかったので、参照する URL を変更しておこうと思います。
ちなみに、強制HTTPS化によって使い物にならなくなっていた “www.jp.debian.org”ですが、現時点でDNSで引けなくなっています。 (HTTPアクセスは無条件で https://www.debian.org にリダイレクト、 直接URL指定だと、証明書も単純にミラーしていたので警告が出ていた)
ftp.jp.debian.orgは生きていて、cdn.debian.or.jpのCNAMEに なっているようです。