最鬼嘅網絡問題（沒有之一） — PMTU Discovery

Networking好哋哋嘅時候冇人記得佢係幾複雜同脆弱，大家上網暢順無阻時都覺得係大條道理，只有當撞鬼嘅時候先會記得起IT9……

呢期衝擊比較大嘅有…

Let’s Encrypt DST Root CA X3喺9月30日過期

Certificate Compatibility

一嘢就揭露咗全世界有好多server-side component都無更新。

TLS有幾個組件都極其複雜同跪弱，例如CA証書要不斷追更新、密碼學上新發現嘅漏洞如Heartbleed、Poodle等等、protocol詮釋上嘅問題如certificate chain中唔同嘅fields都夠哂複雜。

除咗因為有client未收納新CA証書ISRG Root X1 (ISRG係Let’s Encrypt嘅公司)所以失靈之外，亦有因為過期日邏輯詮釋有問題 (取了and而不唔係or關係)而失靈。始終雙CA簽發証書之前絕無僅有，只係Let’s Encrypt先至被大規模廣泛使用。

最煩係你未必控制到人哋upgrade。自己明明先係啱，但人哋會話點解你個website唔work，但又其他website係work。😥

Facebook因BGP斷網

More details about the October 4 outage

電腦最叻解決數學問題，但解決唔到政治問題，所以先至要有BGP。

要電腦搵條shortest path，有大把algorithm可以揀，但因為網絡係屬於唔同嘅人，某啲人會同某啲人friend啲、又要收下過路費噉，最短、最平同最好路徑未必係同一個答案，所以先發明出BGP俾人去干預路由計算。

而啲嘢一旦人嘅元素就好易出事…Facebook BGP呢啲大單嘢唔係第一次、亦唔會係最後一次。

但以上問題都唔及PMTU Discovery問題麻煩