这是一个创建于 3073 天前的主题,其中的信息可能已经有所发展或是发生改变。
域名可以只注册一年,甚至更短时间,但是 SSL 证书却可以注册多年
也就是说你手里的域名,有可能别人在之前拥有它的时候创建了一个长时间的 SSL 证书……
比如说沃通的 SSL ,免费的就支持 3 年的,还是多域名的。(现在似乎不行了)
看着别人的域名上挂着的 SSL 证书,里面却有你的域名,甚至可能你域名过期了,他的 SSL 还没过期,还挂在网站上……
似乎也没谁考虑到这个问题,但是它却真实存在
也就是说你手里的域名,有可能别人在之前拥有它的时候创建了一个长时间的 SSL 证书……
比如说沃通的 SSL ,免费的就支持 3 年的,还是多域名的。(现在似乎不行了)
看着别人的域名上挂着的 SSL 证书,里面却有你的域名,甚至可能你域名过期了,他的 SSL 还没过期,还挂在网站上……
似乎也没谁考虑到这个问题,但是它却真实存在
 |
1
laoyur 2015-11-17 09:44:55 +08:00  1
这就叫缘分,谁让你注册了别人用过的域名呢
|
 |
2
username10086 2015-11-17 09:50:43 +08:00 1
你的域名也不一定会永远是你的,你也只是租借
|
 |
3
wdlth 2015-11-17 10:13:50 +08:00 1
上次买的那个 5 年证书的过期时间比域名过期时间还晚……
|
 |
4
oott123 2015-11-17 10:36:42 +08:00 via Android 1
CA 应该不允许签比域名过期时间更远的证书。
|
 |
5
yeyeye OP @laoyur
@username10086 SSL 存在的意义就是为了防止流量劫持,确认服务器是可信任的,但是 SSL 证书却可以购买比域名期限更久的时间,那就存在不可信的情况了。 @wdlth @oott123 我也认为该如此,不过就是不怎么好算账了 |
|
7
yeyeye OP @pubby 你可能没搞清楚我所要表达的内容。
SSL 的意义就加密传输内容,同时保障服务器身份。确定你访问的服务器就是预期的那一台,中间不存在篡改不存在监听。 但是域名的注册时间有长有短,比如我注册了一年 pubby.com 一年,在这期间我购买了一个 SSL 证书(多域名那种,包含了很多个域名), 5 年期。 然后我没续费了,你看到这个域名不错,你在域名过期后也注册了它。 这时候你打开我的某个网站,发现我的 SSL 证书里,竟然有你的域名存在,你会作什么感想?如果我劫持了你的域名(劫持域名这在国内已经很常见了,不要说不可能发生之类的,也不要说没关系之类的,还记得吗, SSL 证书的信任体系,就是可信 CA 认证过的证书,它一定就是可以代替这个域名传输数据的证明,他就是所访问到的网站的预期的那台服务器) |
 |
8
lianz 2015-11-17 12:18:17 +08:00 1
@yeyeye DV 证书只能用来保证服务器和用户之间的链接是可靠的,不能保证该服务器真的就是你想连的那台服务器。想安全就买 EV 证书,没钱上 EV 证书就别逼逼什么安全啊、可信啊、 CA 认证之类的。
|
 |
9
julyclyde 2015-11-17 13:53:28 +08:00 1
那是 CDN 服务器的多域名证书吧?
|
 |
10
jasontse 2015-11-17 13:56:37 +08:00 via iPad 1
@lianz DV 全称是 Domain Validated ,它验证了域名的所有者属某人,理论上 CA 是不应该签发比域名持有人有效期长的证书。
|
 |
11
phoenixlzx 2015-11-17 14:09:36 +08:00 via Android 1
这个问题很早想过了,当时想做一个通过 oscp 检查当前域名签发证书的工具,但是发现想有意义地实现非常难...
|
 |
12
SharkIng 2015-11-17 14:29:18 +08:00 1
这个可以投诉的吧
|
 |
14
msg7086 2015-11-17 15:39:24 +08:00 via Android 1
可以吊销的。
你这种情况,最典型的就是域名过户,我注册个 5 年域名,然后过户给你,照样能过证书漏洞。 |
 |
15
Showfom 2015-11-17 16:43:56 +08:00 1
直接和 SSL 签发商投诉撤销证书即可。
|
Select Language