[debian-users 00176] Re: www.debian.orgのミラーが変?

Kazuhiro NISHIYAMA zn @ mbf.nifty.com
2017年 11月 4日 (土) 12:54:23 JST


西山和広です。

On Fri, 03 Nov 2017 20:31:17 +0900,
KISE Hiroshi wrote:
> 
> https://www.debian.org/security/dsa.rdf
> ではどうでしょうか。

今は正常なサーバーに繋がっていたので、 /etc/hosts で
2001:41c8:1000:21::21:4 www.debian.org
に固定して試して見たところ、https だと大丈夫でした。

> > あるサーバーから RSS をチェックしているとたまに 404 Not Found が出ていて、
> 
> 逆に、OKな場合もありますか?

OK なときはちゃんと https にリダイレクトされて情報が取れています。
(たぶん繋がっている IP アドレスが違う。)

> > 問題がおきているサーバーからアクセスすると以下のような感じになっています。
> 
> 私のマシンからでも
> * Connected to www.debian.org (5.153.231.4) port 80 (#0)
> ではありますが(IPv4環境なので)、
> 
> > < HTTP/1.1 404 Not Found
> 
> となります。
> 
> 普通のウェブブラウザでHTTPアクセスすると、HTTPSに、つまり対応する
> https://www.debian.org/〜 にリダイレクトされるので、HTTP側は
> もうメンテされていないのでは、と思われます。

なるほど。

https でアクセスした時の応答ヘッダーをよく見てみると
HSTS (HTTP Strict Transport Security) が
Strict-Transport-Security: max-age=15552000
と設定されるようなので、ブラウザーでみるときには一度正常に
https に繋がってしまうと、HSTS を覚えてしまって http に
アクセスしにいかないので、普通は問題が起きなさそうな感じに
見えました。

> curlは、-Lオプションを付けないとき、レスポンス302でリダイレクト
> しないようです。

これは問題の切り分けのためリダイレクトを追いかけないように
curl を使っているだけで、実際に使っている RSS チェッカーは
ruby の open-uri を使っているので、リダイレクトに対応しています。

> 結論としては、
> ・www.debian.orgのウェブサービスはHTTPS化された
> ・HTTPアクセスはHTTPSに302リダイレクトされる
> ・「RSSをチェックしている」プログラムが302リダイレクト非対応
> ということでしょうか。

- HTTPS 化されて HTTP 側がちゃんとメンテナンスされていないミラーがある
- 正常に https で見たことのある HSTS 対応ブラウザーを使うと http に
  つなぎに行かないので、問題に気づかない
- RSS チェッカーは HSTS に対応していないので毎回 http にアクセスしに
  いって、ちゃんとメンテナンスされていないミラーにあたると、ちゃんと
  リダイレクトされずに 404 エラー

ということのようです。

とりあえず手元では https にすれば回避できる(し、その方が安全)と
わかったので、参照する URL を変更しておこうと思います。

> ちなみに、強制HTTPS化によって使い物にならなくなっていた
> “www.jp.debian.org”ですが、現時点でDNSで引けなくなっています。
> (HTTPアクセスは無条件で https://www.debian.org にリダイレクト、
> 直接URL指定だと、証明書も単純にミラーしていたので警告が出ていた)
> 
> ftp.jp.debian.orgは生きていて、cdn.debian.or.jpのCNAMEに
> なっているようです。


-- 
|ZnZ(ゼット エヌ ゼット)
|西山和広(Kazuhiro NISHIYAMA)


debian-users メーリングリストの案内