надо что-то подкрутить в сертификатах

Лучше не надо.

«Время ожидания соединения истекло»

Это не сертификаты. wget и браузер ругались бы на них, а не на время ожидания. Это что-то на уровне L3/L4. Скорее странная настройка файрвола.

Не понятно, почему вы решили, что проблема в сертификатах.

Что говорит команда?

curl -v https://www.linux.org.ru

команда curl -v https://www.linux.org.ru как ни странно работает

А вот curl -v https://microsoft.com

выводит

Trying 13.107.246.67:443…

• Connected to microsoft.com (13.107.246.67) port 443 (#0)
• ALPN: offers h2,http/1.1
• TLSv1.3 (OUT), TLS handshake, Client hello (1):
• CAfile: /etc/ssl/certs/ca-certificates.crt
• CApath: /etc/ssl/certs
• SSL connection timeout
• Closing connection 0 curl: (28) SSL connection timeout

После этого виснет.

То же самое с

curl -v https://ru.wikipedia.org

curl -v https://ria.ru

curl -v https://spectr-rs.ru

Но все эти домены пингуются.

На других компьютерах в этой локальной сети с этими сайтами все в порядке (Windows 10).

ca-certificates то стоят? Время на тачке не отстает?

ca-certificates то стоят? Время на тачке не отстает?

В папке /etc/certs/ есть файл ca-sertificates.crt

Время в порядке.

Трассировку до хостов то сравнивал с шинды и линупса?

Трассировка.

Windows 10:
traceroute microsoft.com
traceroute to microsoft.com (13.107.253.67), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  1.423 ms  1.327 ms  1.268 ms
 2  161.253.239.77.at-home.ru (77.239.253.161)  2.919 ms  2.866 ms  2.814 ms
 3  10.11.13.129 (10.11.13.129)  2.717 ms  2.661 ms  2.608 ms
 4  10.11.13.145 (10.11.13.145)  6.194 ms  6.140 ms  2.448 ms
 5  109.239.131.129 (109.239.131.129)  6.670 ms  7.052 ms  5.926 ms
 6  91.108.51.9 (91.108.51.9)  39.515 ms  38.987 ms  39.073 ms
 7  igblmdistc7504.uk.msft.net (195.66.224.140)  41.961 ms ams-ix-2.microsoft.com (80.249.209.21)  40.116 ms ams-ix-1.microsoft.com (80.249.209.20)  39.839 ms
 8  ae28-0.icr01.ams30.ntwk.msn.net (104.44.230.44)  42.347 ms ae31-0.icr02.ams30.ntwk.msn.net (104.44.55.198)  39.449 ms 51.10.40.255 (51.10.40.255)  42.275 ms
 9  be-120-0.ibr02.ams21.ntwk.msn.net (104.44.22.243)  59.171 ms be-126-0.ibr02.ams30.ntwk.msn.net (104.44.23.224)  46.445 ms *
10  * * *
11  * ae1010-0.icr04.par30.ntwk.msn.net (13.106.239.195)  43.014 ms ae1012-0.icr01.par21.ntwk.msn.net (13.106.239.243)  49.195 ms
12  * ae1012-0.icr02.par21.ntwk.msn.net (13.106.239.249)  50.478 ms *

Проблемный Debian 12 (32bit):

traceroute microsoft.com
traceroute to microsoft.com (13.107.253.67), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  1.423 ms  1.327 ms  1.268 ms
 2  161.253.239.77.at-home.ru (77.239.253.161)  2.919 ms  2.866 ms  2.814 ms
 3  10.11.13.129 (10.11.13.129)  2.717 ms  2.661 ms  2.608 ms
 4  10.11.13.145 (10.11.13.145)  6.194 ms  6.140 ms  2.448 ms
 5  109.239.131.129 (109.239.131.129)  6.670 ms  7.052 ms  5.926 ms
 6  91.108.51.9 (91.108.51.9)  39.515 ms  38.987 ms  39.073 ms
 7  igblmdistc7504.uk.msft.net (195.66.224.140)  41.961 ms ams-ix-2.microsoft.com (80.249.209.21)  40.116 ms ams-ix-1.microsoft.com (80.249.209.20)  39.839 ms
 8  ae28-0.icr01.ams30.ntwk.msn.net (104.44.230.44)  42.347 ms ae31-0.icr02.ams30.ntwk.msn.net (104.44.55.198)  39.449 ms 51.10.40.255 (51.10.40.255)  42.275 ms
 9  be-120-0.ibr02.ams21.ntwk.msn.net (104.44.22.243)  59.171 ms be-126-0.ibr02.ams30.ntwk.msn.net (104.44.23.224)  46.445 ms *
10  * * *
11  * ae1010-0.icr04.par30.ntwk.msn.net (13.106.239.195)  43.014 ms ae1012-0.icr01.par21.ntwk.msn.net (13.106.239.243)  49.195 ms
12  * ae1012-0.icr02.par21.ntwk.msn.net (13.106.239.249)  50.478 ms *

Есть еще 2 дебиана 12 в этой локалке. На них все в порядке с HTTPS. Но они 64bit, если это важно.

И еще. Пару дней назад (примерно когда проблема началась) обновился libxml2 Но это на всех дебианах было. И не думаю, что libxml2 на SSL завязан.

Напутал. Одна из трассировок выше - это другой Debian 12 (64 bit).

Вот Windows:

tracert microsoft.com

Трассировка маршрута к microsoft.com [13.107.253.67]
с максимальным числом прыжков 30:

  1     1 ms     1 ms     1 ms  192.168.0.1
  2     1 ms     1 ms     1 ms  161.253.239.77.at-home.ru [77.239.253.161]
  3     1 ms     1 ms     1 ms  10.11.13.129
  4     2 ms     2 ms     2 ms  10.11.13.145
  5     4 ms     2 ms     2 ms  109.239.131.129
  6    40 ms    39 ms    49 ms  91.108.51.9
  7    37 ms    37 ms    36 ms  ams-ix-1.microsoft.com [80.249.209.20]
  8    36 ms    56 ms    38 ms  ae24-0.icr01.ams21.ntwk.msn.net [104.44.230.42]
  9     *        *        *     Превышен интервал ожидания для запроса.
 10    44 ms    50 ms    43 ms  51.10.16.48
 11     *        *        *     Превышен интервал ожидания для запроса.
 12    44 ms    44 ms    44 ms  ae1011-0.icr03.par21.ntwk.msn.net [13.106.239.201]
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.

Это белые списки теперь к тебе тестить от меня пошли. Привыкай.

Это белые списки теперь к тебе тестить от меня пошли. Привыкай.

проблема с HTTPS в Debian (комментарий)

Есть еще 2 дебиана 12 в этой локалке. На них все в порядке с HTTPS.

Забыл добавить, трассировку делай при помощи tcptraceroute (linux) и tracetcp (windows) на порт 443.

libxml2 обновился после начала проблемы. Не в нем дело.

Потому что бан летит по фингерпринту браузера. Такие дела, в одном браузере работает, а в другом нет. Даже от версии браузера зависит. У меня вчера инет отпустило, а 4 дня назад в новом фаерфоксе из всего инета был только дзен и госуслуги, всё остальное со скоростью 10 кб/c. Через 5 часов после обновы стало лучше. На параллельной машинке, где браузер не мог обновиться всё нормально было. Видать нейронку тестят. Короче вайршарком трафик сравнивай, смотри какая разница в нём. Если с первого раза не увидишь разницу, то смотри что делали с трафиком исследователи вредоносного трафика во всяких научных статьях. Потому что там разные интересные вещи считаются, не только порт и тип запросов, но и размер пакетов и даже время отклика на тот или иной запрос как и частота запросов имеют значения, да и некоторые производные данные.

Это что-то локальное у твоего провайдера/у тебя (проверь свой роутер, кстати, у него тупо могли электролиты высохнуть/вспучиться и подобным образом от пульсации напряжения глючить). У меня есть много знакомых в разных уголках нашей необъятной, но про такое пока никто не рассказывал, даже на ростелекоме.

Я бы поверил что локальное, но оно с 9 числа шло. При том началось с дальнего востока, а потом двигалось на Запад, задерживаясь на рабочую неделю в каждом провайдере. Это глобально на ТСПУ что-то делают. Да у каждого провайдера чуть разные симптомы. У меня полностью инет не клали, замедляли очень сильно. Выглядит как тесты разных стратегий блокировок.

но оно с 9 числа шло. При том началось с дальнего востока, а потом двигалось на Запад, задерживаясь на рабочую неделю в каждом провайдере

Можно ссылку плз?

У валдика спроси, он есть на ЛОР-е и на Хабре. Я не буду давать ссылки на заблоченые в РФ ресурсы на ЛОР-е.

Еще информация. Проблемный Debian 12 присоединен к домену Samba. На контроллере домена (тоже Debian 12) проблем с HTTPS нет. Все Windows 10 в том же домене Samba.

Забыл добавить, трассировку делай при помощи tcptraceroute (linux) и tracetcp (windows) на порт 443.

Проблемный Debian 12:

tcptraceroute microsoft.com 443
Running:
	traceroute -T -O info -p 443 microsoft.com 
traceroute to microsoft.com (13.107.253.67), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  1.179 ms  4.312 ms *
 2  161.253.239.77.at-home.ru (77.239.253.161)  6.382 ms  6.066 ms  5.920 ms
 3  10.11.13.129 (10.11.13.129)  5.788 ms  5.655 ms  5.528 ms
 4  10.11.13.145 (10.11.13.145)  11.677 ms  11.499 ms  12.020 ms
 5  10.11.13.81 (10.11.13.81)  5.279 ms  5.152 ms  5.114 ms
 6  109.239.131.129 (109.239.131.129)  6.490 ms * *
 7  91.108.51.9 (91.108.51.9)  39.799 ms  40.020 ms  39.493 ms
 8  ams-ix-1.microsoft.com (80.249.209.20)  38.623 ms  48.969 ms  38.455 ms
 9  ae22-0.icr03.ams21.ntwk.msn.net (104.44.230.68)  37.103 ms ae27-0.icr02.ams21.ntwk.msn.net (104.44.235.158)  38.914 ms ae28-0.icr01.ams30.ntwk.msn.net (104.44.230.44)  36.353 ms
10  * * *
11  * 51.10.16.50 (51.10.16.50)  44.245 ms 51.10.16.44 (51.10.16.44)  44.118 ms
12  * * *
13  ae1010-0.icr03.par30.ntwk.msn.net (13.106.239.189)  75.622 ms * ae1012-0.icr01.par30.ntwk.msn.net (13.106.210.9)  46.200 ms
14  * * *
15  * * *
16  * * 13.107.253.67 (13.107.253.67) <syn,ack>  43.935 ms

Windows 10:

tracetcp.exe microsoft.com:443

Tracing route to 13.107.253.67 on port 443
Over a maximum of 30 hops.
1       3 ms    2 ms    2 ms    192.168.0.1
2       3 ms    2 ms    2 ms    77.239.253.161  [161.253.239.77.at-home.ru]
3       3 ms    2 ms    2 ms    10.11.13.129
4       4 ms    4 ms    4 ms    10.11.13.145
5       8 ms    3 ms    3 ms    10.11.13.81
6       8 ms    6 ms    4 ms    109.239.131.129
7       40 ms   41 ms   41 ms   91.108.51.9
8       41 ms   72 ms   40 ms   80.249.209.20   [ams-ix-1.microsoft.com]
9       39 ms   46 ms   53 ms   104.44.235.158  [ae27-0.icr02.ams21.ntwk.msn.net]
10      *       *       46 ms   104.44.22.235   [be-100-0.ibr01.ams21.ntwk.msn.net]
11      *       49 ms   *       51.10.16.44
12      46 ms   48 ms   *       51.10.17.168
13      46 ms   *       46 ms   104.44.23.129   [ae106-0.icr04.par30.ntwk.msn.net]
14      *       *       *       Request timed out.
15      *       *       *       Request timed out.
16      Destination Reached in 44 ms. Connection established to 13.107.253.67
Trace Complete.

sudo cast ValdikSS

Роутер - тоже Debian 12. :-) На нем все в порядке.

На роутере тоже Debian 32 bit. Но на нем нет GUI.

По вашим выхлопам, системы ведут себя одинаково.

Мой

14  13.107.246.54 (13.107.246.54) <syn,ack,mss=1410,sack,timestamps,window_scaling>  63.680 ms * *

Не-не-не, не надо facepalm человеку. 100% какие-то белые списки. Только не ясно чего именно. У меня вот ощущение, что протоколов. С чего бы ssh hostone -p 23423` подключался, а psql -h hostone -p 23423 на тот же хост и на тот же порт - нет?

Я бы еще предложил потыкать тулзой для проверки соединения, гугель выдал например такое https://github.com/dspruell/tls-probe.

https://youtube.com

https://rutube.ru

работают!!

А https://russian.rt.com не работает.

Чудеса.

Я не буду давать ссылки на заблоченые в РФ ресурсы на ЛОР-е.

Я читаю его сайт в вечеринке периодически.

Не-не-не, не надо facepalm человеку.

Согласен, убрал.

С чего бы ssh hostone -p 23423` подключался, а psql -h hostone -p 23423 на тот же хост и на тот же порт - нет?

Скорее всего, hostone находится в hetzner/ovh, на них тренируются. Но далеко не везде.

Потому что бан летит по фингерпринту браузера.

Но при использовании SSL фингерпринты знает только веб-сервер. Хотя по набору SSL-шифров блокировки бывали. Они конечно тоже зависят от версии и настроек веб-браузера, но IMHO это не совсем фингерпринт.
ТС ведь проверяет через curl, так что получить одинаковое поведение должно быть относительно несложно.

Я не буду давать ссылки на заблоченые в РФ ресурсы на ЛОР-е.

Почему? Разве на этот счёт есть какие-то запреты в правилах форума? AFAIK списки таких ресурсов обязаны знать (и применять) исключительно операторы связи. Обычный гражданин - не знает и не обязан.

https://www.mozilla.org не работает («Время ожидания соединения истекло»)

https://support.mozilla.org РАБОТАЕТ!!!

Зашел на https://gosuslugi.ru Не работает. Но ошибка другая: «Ошибка при установлении защищённого соединения».

Интересно, что и dzen.ru, и gosuslugi.ru оба «veriefed by GlobalSign nv-sa» Но у Дзена ошибки нет.

Установил в Firefox сертификат Минцифры чисто потестировать. Какие сайты он удостоверяет? Могу потестировать.

Я понял, надо что-то подкрутить в сертификатах

Ничего ты не понял :)

Несколько дней назад потерян доступ к сетевым ресурсам по протоколу HTTPS

Вариант 1, в твоем регионе тестируют новые ограничения

Вариант 2. кто-то (и возможно ты) накосячил с MSS. Явно уменьши MTU например до 1000

Роутер - тоже Debian 12. :-) На нем все в порядке.

О, тогда точно твой косяк. Гугли nftables MTU to MSS

Творится полнейшая хрень. Захожу в Firefox на https://sberbank.ru Получаю ошибку «Возникла проблема при открытии сайта Сбербанка в этом браузере. Возможно у Вас не установлены сертификаты Национального УЦ Минцифры России»

Но они установлены!

Захожу с других компов, на которых нет сертификата Минцифры (Linux, Windows). Сбербанк открывается и он verified by Hellenic Academic and Research Institutions CA.

На проблемном компе тоже есть сертификат Hellenic Academic and Research Institutions CA, но он не задействован. При этом IP-адрес Сбербанка везде один и тот же: 194.54.14.168

Явно уменьши MTU например до 1000

На проблемном компе уменьшить?

Ничего не менял в эти дни, вообще не трогал. Доступ к роутеру и компу только у меня. И вдруг перестало работать.

С сертификатами творится ерунда. Вот я написал: проблема с HTTPS в Debian (комментарий)

На проблемном компе уменьшить?

Да

Ничего не менял в эти дни, вообще не трогал

По твоим словам. Но при этом по твоим же словам на роутере работает. Промежуточный узел, косяк с MSS, классика

На проблемном компе тоже есть сертификат Hellenic Academic and Research Institutions CA, но он не задействован

В смысле в списке он есть. Но сайт Сбера его не задействует почему-то.

Сертификаты нужно устанавливать не на комп, а непосредственно в браузер. Системные сертификаты браузер обычно игнорирует. По крайней мере в линуксе. В винде не знаю

Но на всякий случай сравни сертификаты через

echo | openssl s_client -showcerts -connect $SITE:$PORT -serverame $SERVER | less

и проверь, что на компе не запущен какой-нибудь впн

# ip link set dev enp1s0 mtu 1000
# ip link show enp1s0
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1000 qdisc fq_codel state UP mode DEFAULT group default qlen 1000

С https ничего не изменилось. И еще эти странности с удостоверяющими сертификатами. Госуслуги и Сбер тут причем? Они должны работать всегда.

Может что-то типа вируса на компе? Как надежно проверить?

ip link set dev enp1s0 mtu 1000

Какие ещё интерфейсы есть?

ip link list
ip route list

Какие ещё интерфейсы есть?

ip link list
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1000 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:42:4c:ed brd ff:ff:ff:ff:ff:ff

Сертификаты нужно устанавливать не на комп, а непосредственно в браузер

Только в Firefox установил сертификат Мницифры. На комп не ставил.

Я не буду давать ссылки на заблоченые в РФ ресурсы на ЛОР-е.

Емнип, это ни правилами ЛОР не запрещено, ни по законам. Пока что во всяком случае.

Я не удивлюсь ничему уже, но вроде бы браузеры по фингерпринту банить - это что-то новое.

# openssl s_client -showcerts -connect microsoft.com:443
CONNECTED(00000003)

А дальше ничего.

Всё-таки, есть возможность сделать зависающий curl с проблемной машины через иной интернет (мобильный там, или ещё какой)? Для локализации проблемы.

Емнип, это ни правилами ЛОР не запрещено, ни по законам.

Это не просто ссылка на заблоченный ресурс, это ссылка на заблоченный ресурс, который предоставляет данные по обходу блокировок, а вот это уже запрещено.

Я не удивлюсь ничему уже, но вроде бы браузеры по фингерпринту банить - это что-то новое.

Сейчас испытывают сложные эвристические анализы. Насколько причина в браузере это вопрос, но уже в некоторых регионах научились давать полный интернет бан на 10 минут, если система определит подозрительное поведение.

это ссылка на заблоченный ресурс, который предоставляет данные по обходу блокировок, а вот это уже запрещено.

Ссылки на ресурс все-равно вроде не запрещены. Впрочем не буду настаивать.

Насколько причина в браузере это вопрос, но уже в некоторых регионах научились давать полный интернет бан на 10 минут, если система определит подозрительное поведение.

Подозрительным походу является любое нестандартное поведение.

А вообще охренели.

Раз работает https://youtube.com, то установлена какая фигня типа запрет и т.д.

Угу. Потому я прекратил платить за инет на год и перешел к помесячной оплате. Потому что скоро похоже от интернета останется десяток бесполезных сайтов.

А вообще охренели.

Перестаньте, это мелочи. В этой стране миллионами о голода гибли, сопли ели в лагерях, а тут нам всего лишь усложняют доступ в интернет.

есть возможность сделать зависающий curl с проблемной машины через иной интернет (мобильный там, или ещё какой)?

Хорошая идея. В принципе возможно, хоть и непросто. Я так и сделаю. Отпишусь на днях.

Потому что скоро похоже от интернета останется десяток бесполезных сайтов.

У интернета всё нормально. У чебурнета проблемы.