Как срабатывает редирект с yandex.ua?

Question

[Антон Кокарев]

Решил глянуть содержимое yandex.ua, но не тут-то было - сразу редиректит на ya.ru. Другой бы мимо прошёл, а мне стало интересно. Открыл сертификат ya.ru - там много доменов, но в зоне UA нет ни одного. Ну логично, компания родом из России, не хотят иметь связи с Украиной.
А как обстоят дела с HTTPS? Открываем DevTools, ставим галку Preserve Logs, идём по прямому пути, указываем https://yandex.ua/ - Опять редирект 307 на https://ya.ru/!
Сертификата понятное дело от yandex.ua посмотреть не удалось. Есть вариант поставить некое расширение для запрета редиректов и попытаться средствами браузера подсомтреть что там за сертификат, но я выбрал сложный путь:

openssl.exe s_client -connect 5.255.255.77:443 -showcerts -servername yandex.ua

LOG

Connecting to 5.255.255.77
CONNECTED(0000018C)
depth=2 OU=GlobalSign ECC Root CA - R5, O=GlobalSign, CN=GlobalSign
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C=BE, O=GlobalSign nv-sa, CN=GlobalSign ECC OV SSL CA 2018
verify return:1
depth=0 C=RU, ST=Moscow, L=Moscow, O=YANDEX LLC, CN=*.xn--d1acpjx3f.xn--p1ai
verify return:1
---
Certificate chain
 0 s:C=RU, ST=Moscow, L=Moscow, O=YANDEX LLC, CN=*.xn--d1acpjx3f.xn--p1ai
   i:C=BE, O=GlobalSign nv-sa, CN=GlobalSign ECC OV SSL CA 2018
   a:PKEY: EC, (prime256v1); sigalg: ecdsa-with-SHA384
   v:NotBefore: Dec  4 17:11:48 2024 GMT; NotAfter: Jun  3 20:59:59 2025 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 1 s:C=BE, O=GlobalSign nv-sa, CN=GlobalSign ECC OV SSL CA 2018
   i:OU=GlobalSign ECC Root CA - R5, O=GlobalSign, CN=GlobalSign
   a:PKEY: EC, (secp384r1); sigalg: ecdsa-with-SHA384
   v:NotBefore: Nov 21 00:00:00 2018 GMT; NotAfter: Nov 21 00:00:00 2028 GMT
-----BEGIN CERTIFICATE-----
MIIDAjCCAomgAwIBAgINAe5fIpVCSQX5AZGo3DAKBggqhkjOPQQDAzBQMSQwIgYD
VQQLExtHbG9iYWxTaWduIEVDQyBSb290IENBIC0gUjUxEzARBgNVBAoTCkdsb2Jh
bFNpZ24xEzARBgNVBAMTCkdsb2JhbFNpZ24wHhcNMTgxMTIxMDAwMDAwWhcNMjgx
MTIxMDAwMDAwWjBQMQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBu
di1zYTEmMCQGA1UEAxMdR2xvYmFsU2lnbiBFQ0MgT1YgU1NMIENBIDIwMTgwdjAQ
BgcqhkjOPQIBBgUrgQQAIgNiAATDoRGNZSPhluG7q6bQA11PTe0ZD/xx44QlFam1
BM4eLeN+wfgwalsbkjzARCM9si/fnQeKNtKAlgNmNOHTmV3VfwGbocj6+22HVWZu
VeX/VeIGoWh1u7Lja/NDE7RsXaCjggEpMIIBJTAOBgNVHQ8BAf8EBAMCAYYwEgYD
VR0TAQH/BAgwBgEB/wIBADAdBgNVHQ4EFgQUWHuOdSr+YYCqkEABrtboB0ZuP0gw
HwYDVR0jBBgwFoAUPeYpSJvqB8ohREom3m7e0oPQn1kwPgYIKwYBBQUHAQEEMjAw
MC4GCCsGAQUFBzABhiJodHRwOi8vb2NzcDIuZ2xvYmFsc2lnbi5jb20vcm9vdHI1
MDYGA1UdHwQvMC0wK6ApoCeGJWh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5jb20vcm9v
dC1yNS5jcmwwRwYDVR0gBEAwPjA8BgRVHSAAMDQwMgYIKwYBBQUHAgEWJmh0dHBz
Oi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMAoGCCqGSM49BAMDA2cA
MGQCMC4lzZGQw5mpNZBmztq8huxKf9/tRUJ5yLI4q6YU+i2fjF2FRBNA64EBmljA
7dkSOwIwL9qYB0APhsLmV0LhknrzHZVvtqzg7NQaIV18BEIDZQgK3gjxYzADjHSH
5uk4mCdW
-----END CERTIFICATE-----
 2 s:OU=GlobalSign ECC Root CA - R5, O=GlobalSign, CN=GlobalSign
   i:C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
   a:PKEY: EC, (secp384r1); sigalg: sha384WithRSAEncryption
   v:NotBefore: Jun 19 00:00:00 2019 GMT; NotAfter: Jan 28 12:00:00 2028 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=C=RU, ST=Moscow, L=Moscow, O=YANDEX LLC, CN=*.xn--d1acpjx3f.xn--p1ai
issuer=C=BE, O=GlobalSign nv-sa, CN=GlobalSign ECC OV SSL CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ecdsa_secp256r1_sha256
Peer Temp Key: X25519, 253 bits
---
SSL handshake has read 3993 bytes and written 1622 bytes
Verification error: unable to get local issuer certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Protocol: TLSv1.3
Server public key is 256 bit
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 20 (unable to get local issuer certificate)
---

Скопировал содержимое сертификатов в файл, получил ровно тоже самое что и на сайте https://ya.ru/ - в сертификате нет домена из зоны UA. Видимо сервер тот же самый, настройка сертификатов на все домены одна и та же.

И вот тут вопрос - А как же тогда срабатывает редирект с домена yandex.ua при подключении по протоколу HTTPS, если исходный домен отсутствует в сертификате? Почему браузер не ругается на подмену сертификата?

Comments

[Ziptar]

Не знаю, что у тебя там редиректит, nslookup (в том числе nslookup.io) никаких A записей на домене не находит.

[Антон Кокарев]

Ziptar, nslookup yandex.ua 77.88.8.8

Server: dns.yandex.ru
Address: 77.88.8.8

Non-authoritative answer:
Name: yandex.ua
Addresses: 2a02:6b8:a::a
5.255.255.77
77.88.55.88
77.88.44.55

Это находясь в России. Если из Украины делать запросы, то по разному бывает (https://www.nslookup.io/domains/yandex.ua/dns-reco...) - бывает 127.0.0.200 отдает, а бывает так 146.112.61.106 или еще много разных IP украинских, но в нашу сторону они опять же молчат.
Я использовал ответ Яндекс серверов, в команде openssl.exe специально указал IP адрес и ключ -servername yandex.ua.

[Антон Кокарев]

Ziptar, nslookup.io меняй страну туда-обратно много раз, получишь разные результаты.

[Everything_is_bad]

Антон Кокарев, ты путаешь, для yandex.ua нет никаких записей.

[Everything_is_bad]

Антон Кокарев,

-servername yandex.ua

замени на любой другой домен результат тот же

[Антон Кокарев]

Everything_is_bad,

ты путаешь, для yandex.ua нет никаких записей.

Выше ответил, есть записи, спросите напрямую у серверов яндекса.

замени на любой другой домен результат тот же

Как работает ответ сервера с любого домена мне понятно, как работает редирект я тоже знаю. Мне не понятно почему сервер отвечает по протоколу HTTPS с невалидным сертификатом для запрашиваемого домена, а клиент не ругается на это. Т.е. показать index.html с невалидным сертификатом - это "Ахтунг, сайт подделали, не вводите пароли", а сделать редирект на FishingSite.com - это норм?

[Everything_is_bad]

Антон Кокарев,

Выше ответил, есть записи, спросите напрямую у серверов яндекса.

ну так это dns яндекса так отвечает, можешь поднять свой dns и сделать любой нужный тебе ответ.

Ну и да, нормально ругается, это у тебя что-то не то

curl --resolve yandex.ua:443:5.255.255.77 https://yandex.ua -v
* Added yandex.ua:443:5.255.255.77 to DNS cache
* Hostname yandex.ua was found in DNS cache
*   Trying 5.255.255.77:443...
* Connected to yandex.ua (5.255.255.77) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=RU; ST=Moscow; L=Moscow; O=YANDEX LLC; CN=*.xn--d1acpjx3f.xn--p1ai
*  start date: Dec  4 17:11:48 2024 GMT
*  expire date: Jun  3 20:59:59 2025 GMT
*  subjectAltName does not match yandex.ua
* SSL: no alternative certificate subject name matches target host name 'yandex.ua'
* Closing connection 0
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS alert, close notify (256):
curl: (60) SSL: no alternative certificate subject name matches target host name 'yandex.ua'

[Lynn «Кофеман»]

А браузер-то какой?

[WSGlebKavash]

Коллеги вопрос: Есть ли способ получить письмо на почту mail@yandex.ua? Не могу попасть в аккаунт, требует код подтверждения, не приходит.

[Антон Кокарев]

Everything_is_bad, Lynn «Кофеман», Спасибо за наводку. Попробовал в гугл-хроме - блокирует сертификат как и положено.

А в Yandex Browser так делает:

[Everything_is_bad]

Антон Кокарев, т.е. ты использовал Yandex Browser, а догадаться что они так могут бороться с фейками своего имени не смог, и проверять в другом браузере почему-то тоже не стал?

[Everything_is_bad]

WSGlebKavash, потому что нет такого домена для почты.

[WSGlebKavash]

Everything_is_bad, И как мне попасть в свой аккаунт?

[Everything_is_bad]

WSGlebKavash, пиши в поддержку яндекса, ты бы еще через 10 лет вспомнил.

[WSGlebKavash]

Everything_is_bad,

пиши в поддержку яндекса

Может лучше в техподдержку эпикгеймса? И как им доказать, что я владелец аккаунта, а виноват Яндекс, Зеленский и иные обстоятельства?

[Lynn «Кофеман»]

Everything_is_bad,
вряд ли яндекс чем-то поможет. Домен у него отобрали 10 лет назад.

WSGlebKavash,
если вы сумеете убедить поддержку эпика заменить адрес с yandex.ua на yandex.ru (или com/kz/lv/lt/...)
но что-то я сильно сомневаюсь =)

[WSGlebKavash]

Lynn «Кофеман»,

убедить поддержку эпика заменить адрес с yandex.ua на yandex.ru

Как? Есть алгоритм переписки?
В Steam всё гладко прошло, буквально за 6 часов сменили адрес и SteamGuard.