前言
学校提供了一个国际学术资源加速服务,要求下载定制浏览器使用(是套壳Chromium的360极速浏览器的套壳,绷不住)。因为实在是不想用定制但免梯访问学术资源省流量又比较心动,于是研究了一会发现套壳浏览器使用了私有DoH和私有证书。
随后我在Firefox中配置该DoH,导入定制浏览器的证书到Firefox,关掉HSTS预载列表也是访问成功了。打开学校套壳浏览器使用了sandbox,但打开火狐没有(应该是这里出问题的)
吊诡的事情来了,在我没有改任何设置在主力浏览器Brave时,忘记开梯子访问google,brave提示的是证书无效而不是网络错误,证书链里出现了上文的证书。
我可以在这个报错页面直接导出该根证书。但我的系统中(certlm.msc 和 certmgr.msc )完全找不到这个证书。
因为我不在C盘放重要东西干脆就重装系统了,发现brave又会复现同样的证书错误,开节点后错误消失,不开访问国内网站没有问题。问了ai说可能有校园网准入控制强制下发,但其他同学使用相同网络和我没有申请国际学术资源前都不会遇到此问题,我也没有安装任何学校提供的客户端或准入软件。
已做的排查
- Brave浏览器的同步方式是web3的同步链条,不存在导入设置问题。个人有基本电脑文件认知也是清理了
AppData,错误仍然存在。 - 确认 Brave 的证书管理页面(
brave://settings/certificates)中没有该证书。 - 用
certutil -store root搜索,找不到 Scholar 相关条目。 - 查看 Windows 受信任的根证书颁发机构(用户和计算机层),均无此证书。
netsh winsock reset+ipconfig /flushdns无变化。- Hosts 文件无异常。
- 检查浏览器快捷方式、启动参数,没有被篡改。
- 用 HashMyFiles 全盘搜索该证书指纹对应的文件,未发现任何匹配。
- 所以这些排查应该可以证明证书并非存储在本地(?
- 重装系统后用之前系统没有的edge浏览器实验了一下,仍然报错。
- Win11的DNS服务器分配是默认的DHCP,网卡也没有被劫持。甚至问了ai让我查
Get-DnsClientNrptRule也是输出为空 - 没招了把Brave的DNS改成了
1.1.1.1,问题解决了不报证书问题了。
困惑
既然我的系统内根本没有那个证书,Brave收到的伪造证书改成公共DNS就痊愈了,证明完全是网络层面的劫持。我大概理解是因为是网关在TLS握手时临时生成并塞给我的,我导出的是网络包里抓出来的不在本地,这么理解对吗?但既然重装系统了为什么还会一连网被劫持? 问了一圈ai(GPT/Gemini/DS-v4pro)说校园网针对我的学号布置了网关,但问题是手机上的Brave访问Google完全正常,我也没有在电脑上登录过学校的任何认证软件啊……
因为我对网络安全一窍不通问了一圈AI也半懂不懂,只能询问善解人意的万能佬友了,希望解释的时候可以尽量不用太专业的黑话(当然如果需要专业术语我也会自己私下继续问AI的qaq)先谢谢大家
7 个帖子 - 5 位参与者