jsDelivr域名遭到DNS污染

转载自：【杂谈】jsDelivr域名遭到DNS污染 – Luminous' Home

jsDelivr域名遭到DNS污染

在jsDelivr被吊销ICP许可证四个月后的4月28日，cdn.jsdelivr.net开始遭到污染，这一个赫赫有名的静态资源库面向中国大陆的服务最终倒在了政策和监管双重压力之下。

写在前面

虽然从四个月前那次宕机失去中国大陆CDN开始，很大一部分网站已经陆陆续续将静态资源切出jsDelivr，但是碍于jsDelivr多年的深耕以及服务的独特性，仍有不少场景下引用有jsDelivr的链接。不同于以往的短时间宕机，这次的“污染”几近于死刑，意味着cdn.jsdelivr.net在中国大陆服务的彻底终结，从此这个网站将不再是慢，而是不可及。

jsDelivr的命运

2022年4月28日，jsDelivr得到了与Facebook、Twitter等如出一辙的安排，主要的服务域名遭到DNS污染。在正常状态下，当你请求网站域名域名时，你的DNS服务器会逐级向上寻找这个域名的解析记录，并通过这个链条将它指向的服务器返回给你，实现域名与服务器的融合。若你的DNS逐级向上请求记录的过程中，出现了一个中间人提前抢答了错误的记录，而非来自域名权威服务器的正确回复，导致返回的结果并不是指向正确服务器的，连接因此不能建立，这便是DNS污染。其中的原因，还是要从一开始说起。

惊艳四座的jsDelivr

不知道提到jsDelivr，大家都是从哪一项服务开始接触到它的？由中国最大的传统CDN提供商网宿（QUANTIL）赞助，支持cdnjs和GitHub内容直接加速引用，它的应用可以说是迄今为止所有静态库中最为广泛的了。大到各种门户网站，小到个人博客，乃至去广告规则订阅、图床、插件静态库等等种种衍生场景，都能见到它的身影。

在网宿的协助下，2016年12月jsDelivr挂名在上海幻文信息科技有限公司下完成了企业ICP备案，取得了备案号【沪ICP备15005128号-2】。这是一家网宿用于代理备案的公司，通过天眼查等工具很容易看出来，历史上共有8个网站在这个公司挂名进行备案，目前除了所谓的主页已全部注销。

这是历史上第一个以较为正规的方式进入中国大陆的海外静态资源库项目，在网宿与诸多海外赞助商协同下，5年中jsDelivr提供了非常稳定且出色的服务。jsDelivr官方毫不掩饰对自己能够在中国大陆合法提供服务的喜悦，专门在节点页面中写下了“我们拥有中国政府的ICP许可证，拥有数百个服务节点的巨大中国网络”的字眼。

然而千里之堤溃于蚁穴，纵使拥有网宿这样强有力的支撑，也难抵运营以来遇到的重重阻碍。

一波三折的大陆服务

在网宿负责中国大陆的CDN节点这几年中，因为网宿方面的问题导致了几次SSL证书过期而宕机，博主有印象的在2019、2020年都有出现过。如果说那些都是网宿单方面的失误的话，2019年10月的暂时退出是jsDelivr官方面临的第一次危机。2018年工信部对域名备案政策颁布了新的规定，只有注册局在中国大陆拥有代理公司并完成申报、且域名停放在在中国大陆注册商的情况下才可以进行备案。jsDelivr挂名的公司在2019年需要进行了负责人信息的变更，备案主体信息需要进行修改，这在多个域名中都可以查到记录。

当时，jsDelivr暂时关闭了中国大陆的节点，转而使用网宿位于中国台湾和韩国首尔的节点提供服务，加载速度一落千丈。当时博主还向官方发送了一封邮件进行了咨询，官方也亲切地回应是在更新ICP备案，将在不久之后恢复。较早的issue中，官方人员进行了更详细的解释，他们在更新ICP备案的过程中遇到新规的要求将备案域名转入至中国大陆的服务商的问题，在评估后他们认为没有一种安全的方式能够确保在服务不中断的前提下将域名转移至中国大陆，因此暂时关闭中国大陆的节点等待进一步的探讨。最终在一个月后，jsDelivr恢复了位于中国大陆的节点，这次风波算是告一段落。

接下来的三年中大体相安无事，除了几乎每年一度的网宿忘记更新SSL证书。但是由于支持对GitHub项目的完整加速，对jsDelivr的滥用日趋严重，GitHub+jsDelivr图床、视频床甚至网盘层出不穷。如果说以上只是对免费资源的滥用，在GitHub中储存成人、邪教等文件通过jsDelivr向中国大陆分发，则是将jsDelivr一步步推向万丈深渊。

在2020年的8月15日，jsDelivr在官方GitHub项目中首次更新了使用限制说明（点击前往），我截取了其中较为重要的一部分，这是官方第一次明确表示禁止多种滥用行为并添加了对中国大陆政策的额外说明。在这之后，官方在网宿方向屏蔽了一系列不符合中国大陆法律内容的项目。但是由于是针对整个GitHub项目的通用加速，官方的封禁显然远远比不过肆意滥用的脚步。

命中注定的结局

jsDelivr对中国大陆的态度一直颇为暧昧，在2019年风波平息后，有不少人提议针对中国大陆的服务中GitHub加速项目应当审核开放或关闭此项以防止滥用，但官方认为将项目推送cdnjs也是很容易的事，单单禁用GitHub并不能解决不合理利用的问题，于是便没有了后文。

于是在2021年12月20日，当项目组成员在另一个半球睡得正香的时候，自上而下的命令压力下网宿直接关闭了jsDelivr的大陆CDN，几个小时后jsDelivr的ICP备案也被注销。当jsDelivr项目工作人员起来时，一脸茫然地发现网宿在未告知原因的情况下关闭了中国大陆的CDN，在愤怒之余将DNS记录切换至了Fastly恢复了jsDelivr的访问，这次的风波暂时告一段落。

但是网宿这次为何突然关闭CDN的原因依然众说纷纭，有内部人士称是因为网安部门发现了通过jsDelivr的链接传播邪教内容，但这些无从考证，官方自始至终也未对此给出任何解释。但无法改变的是，jsDelivr失去了ICP许可证，不再拥有位于中国大陆的CDN节点，加载速度大幅下降，官方也不再通过区域服务商对内容进行过滤。

在这之前有一个同样支持GitHub加速的静态资源库statically.io已被SNI阻断，与曾经的jsDelivr唯一的不同便是没有ICP许可证的保护。它走过的路，冥冥中暗示着jsDelivr注定的结局。

2022年4月28日，jsDelivr在中国大陆确认遭到DNS污染，乐章到此戛然而止。

代替方案

我本身也是jsDelivr的使用者，个站的图片资源已经无法加载，目前正在想办法找替代方案，也许从此后再没有免费稳定的产品了。目前考虑腾讯的付费COS吧。

结语

于是，到底是谁杀死了jsDelivr呢？是jsDelivr审核不够严谨？是网宿的不辞而别？是政策的“一刀切”？博主不知道，相信各位看官自己心里都有自己的答案吧。

本来只是想简单讲几句，没想到就说了这么多，一篇文章难免会参杂有个人情感，文中如果有不够严谨的地方请多指点。

最后，晚安jsDelivr，感谢您和诸多的赞助商这么多年来为用户无偿提供这样便捷的服务~