Netcraft 上看到 LinkedIn 出包的消息,這次是 country-mixed 的版本出包:「LinkedIn certificate blunder leaves users LockedOut!」。
在 DNS 上也可以看出來這兩個 CNAME
到不一樣的 load balancer 上:
;; ANSWER SECTION: www.linkedin.com. 260 IN CNAME 2-01-2c3e-003c.cdx.cedexis.net. 2-01-2c3e-003c.cdx.cedexis.net. 93 IN CNAME pop-ehk1.www.linkedin.com. pop-ehk1.www.linkedin.com. 3560 IN A 144.2.3.1
;; ANSWER SECTION: de.linkedin.com. 86400 IN CNAME cctld.linkedin.com. cctld.linkedin.com. 86400 IN CNAME mix.linkedin.com. mix.linkedin.com. 213 IN CNAME pop-ehk1.mix.linkedin.com. pop-ehk1.mix.linkedin.com. 3546 IN A 144.2.3.5
而 SSL Labs 上也看得出來在 Alternative names 的地方是不一樣的:「SSL Server Test: www.linkedin.com (Powered by Qualys SSL Labs)」、「SSL Server Test: de.linkedin.com (Powered by Qualys SSL Labs)」。
然後因為 LinkedIn 有設定 HSTS,所以使用者在界面上完全無法登入:
在 Google Chrome 上可以用 badidea
繞過 (參考「在 Google Chrome 連上因 HSTS 而無法連線的網站」),但在 Mozilla Firefox 上的話目前沒找到方法可以在界面上 bypass,而是需要改 SiteSecurityServiceState.txt
這個檔案:「HTTP Strict Transport Security prevents me from accessing a server that I'm doing development on」。
不過也因為兩個 cluster 獨立運作,網址改一下應該就會動了...
這幾年比較很少看到大公司出這種包,還蠻有趣的 XD