CDN.md

   1 # Notes for CDNs
   2
   3 ## Akamai
   4
   5 Support TLS handshake without SNI, and does not require SNI extension and HTTP Host header to contain the same domain
   6
   7 ## Amazon CloudFront
   8
   9
  10 It does not support TLS handshake without SNI
  11
  12 You must specific correct SNI in `config.json`
  13
  14 ### Example:
  15
  16 For `www.wsj.com`
  17 Run
  18
  19 $ `nali-dig @208.67.222.222 -p 5353 -t CNAME www.wsj.com +short`
  20
  21 ```
  22 dlp0y1mxy0v3u.cloudfront.net. [AWS CloudFront]
  23 ```
  24
  25 Or run (If MS Windows)
  26
  27 \> `nali-nslookup -q=cname -port=5353 www.wsj.com 208.67.222.222`
  28
  29 ```
  30 Server:         208.67.222.222 [美国 加利福尼亚州旧金山 市 OpenDNS 有限公司公众 DNS 服务器]
  31 Address:        208.67.222.222 [美国 加利福尼亚州旧金山 市 OpenDNS 有限公司公众 DNS 服务器]#5353
  32
  33 Non-authoritative answer:
  34 www.wsj.com     canonical name = dlp0y1mxy0v3u.cloudfront.net. [AWS CloudFront]
  35
  36 Authoritative answers can be found from:
  37 ```
  38
  39 Add below in `config.json`'s `alert_hostname` field
  40
  41 ```
  42 "www.wsj.com": "dlp0y1mxy0v3u.cloudfront.net"
  43 ```
  44
  45 ## Automattic
  46
  47 Support TLS handshake without SNI, and does not require SNI extension and HTTP Host header to contain the same domain
  48
  49 Note: this IP `192.0.66.2` has been blocked using QoS filtering
  50
  51 Other IPs in the range `192.0.66.0/24` is not
  52
  53 ## CloudFlare
  54
  55 By default(most sites), it does not support TLS handshake without SNI, and will check if SNI extension and HTTP Host header contains the same domain
  56
  57 Domain Fronting is not possible
  58
  59 ## ddos-guard.net
  60
  61 Support TLS handshake without SNI, and does not require SNI extension and HTTP Host header to contain the same domain
  62
  63 I suggest that you use `ddos-guard.net` as the set SNI, other values will [return](https://github.com/URenko/Accesser/pull/93) strange self-signed TLS certificates
  64
  65 ## Fastly
  66
  67 Support TLS handshake without SNI, and does not require SNI extension and HTTP Host header to contain the same domain
  68
  69 ## Google Web Service
  70
  71 SNI is required, but it doesn't require SNI and Host to contain same domain.
  72
  73 e.g.
  74
  75 `curl -v https://about.google --connect-to ::142.250.98.90 -H "Host: www.google.com.hk"`
  76
  77 is OK.
  78
  79 ## Incapsula
  80
  81 Support TLS handshake without SNI, and does not require SNI extension and HTTP Host header to contain the same domain
  82
  83 ## StackPath
  84
  85 Support TLS handshake without SNI, and does not require SNI extension and HTTP Host header to contain the same domain
  86
  87 Note: this IP `151.139.128.11` has been blocked using QoS filtering
  88
  89 Other IPs in the range `151.139.128.0/24` is not