首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

域名贩子成功诱使 Comodo 为 sb 顶级域名签发证书

  •  
  •   southwolf · 2016-10-02 10:41:29 +08:00 · 5391 次点击
    这是一个创建于 1081 天前的主题,其中的信息可能已经有所发展或是发生改变。
    44 回复  |  直到 2016-10-03 16:09:51 +08:00
        1
    chromee   2016-10-02 10:48:57 +08:00 via Android
    14 年就有这个问题了
    https://crt.sh/?id=4467456 dns 里有 re
    只能说 comodo 的判断有问题 把 www.xx 当做了 xx 的一个子域名
        2
    breeswish   2016-10-02 10:51:33 +08:00
    影响很小,只有 https://sb 才能用上那个 sb common name
        3
    jasontse   2016-10-02 10:57:10 +08:00 via iPad
    @breeswish 这也不一定,可能 .sb 下的裸域全部都可以用。
        4
    breeswish   2016-10-02 10:59:20 +08:00
    @jasontse 不会啊,这又不是 *.sb
        5
    jasontse   2016-10-02 10:59:58 +08:00 via iPad
    @showfom 你怎么不签一张野卡?这样新闻更大。
    以后你那还会有 Comodo 的证书卖么 😂
        6
    dynos01   2016-10-02 11:03:28 +08:00 via iPad
    没啥危害,因为 https://sb 压根不合法。。。
    通配符应该是要验证 sb ,应该签发不了
        7
    sneezry   2016-10-02 11:21:19 +08:00 via Android
    那张证书可以给内网用😄
        8
    anti9take   2016-10-02 12:02:25 +08:00 via Android
    惨遭 cnbeta 收录,果然没有标注来源……
        9
    RobertYang   2016-10-02 12:29:43 +08:00 via Android
    没什么危害啊
        10
    AirSc   2016-10-02 12:39:08 +08:00 via Android
    到了 comodo 回复果然就是“没啥问题”云云
        11
    anti9take   2016-10-02 12:56:11 +08:00 via Android
    @AirSc 处理及时,过程公开,漏洞实际上无法利用,审查过程合乎 BRs ,没有同时爆出编号从 D 到 X 的一连串问题,更没有向揭发情况的人寄威胁信。
    Comodo 的应对已经很能说明一个可信 CA 究竟可信在哪里了。
        12
    BXIA   2016-10-02 13:21:39 +08:00 via iPhone   ♥ 1
    建议吊销 Comodo 根证书(滑稽
        13
    mornlight   2016-10-02 13:33:24 +08:00
    人家明明是做正经生意的,域名贩子好难听...
        14
    xiaoice   2016-10-02 13:43:51 +08:00
    @mornlight
    贩子也是正经生意。。。不要有职业歧视好吗?
    我觉得这个称呼很到位,拿到原始资源包装一下转手的可以称呼为贩子。
        15
    Showfom   2016-10-02 13:45:45 +08:00 via Android
    @xiaoice 我已经把写这个新闻的家伙骂了一顿 原文已经更改了 你才贩子呢 至于转载的各种网站的小编 都是智障
        16
    Showfom   2016-10-02 13:46:00 +08:00 via Android
    @chromee 这个域名和证书也是我的
        17
    Showfom   2016-10-02 13:47:47 +08:00 via Android
    @anti9take 原来你在这儿 以后再写新闻记得要有礼貌并且要属实 不要乱报道

    另 Comodo 从来没找过我 吊销证书也没给我个邮件
        18
    Showfom   2016-10-02 13:48:03 +08:00 via Android
        19
    Showfom   2016-10-02 13:48:46 +08:00 via Android
    @jasontse 他们不傻 野卡搞不定
        20
    mornlight   2016-10-02 13:54:49 +08:00
    @xiaoice 用 「域名贩子」会让读者认为只是转卖域名的,然而他的义务范围很广,用这样的称谓并不合适。另外, 「贩子」在大多数语境下都含有贬义,比如票贩子、人贩子。 「商贩」这个词才是中性的。我在意的是措辞问题。
        21
    Showfom   2016-10-02 13:57:26 +08:00 via Android
    @mornlight 我问了下圈子里的人 谁叫谁域名贩子都会觉得对方是傻逼
        22
    skydiver   2016-10-02 13:59:33 +08:00
    被称作域名贩子是怎样的体验?
        23
    Tink   2016-10-02 14:01:41 +08:00 via iPhone
    好像没什么用啊
        24
    DoraJDJ   2016-10-02 14:02:08 +08:00
    在 Solidot 看到这条新闻的时候,我差点把我对 Showfom 的内心形象给毁掉了。
    事实证明,词句的错误使用可能会造成不得了的结果。
        25
    mornlight   2016-10-02 14:05:06 +08:00
    @Showfom 看起来我应该叫 「代码贩子」,毕竟我也只是把系统接口和三方库包装一下拿去给别人用。
        26
    Showfom   2016-10-02 14:05:35 +08:00 via Android
    @DoraJDJ 捏捏
    @Tink 我只发现一个用途 比如局域网有个主机叫做 sb 那么就可以用我的证书了 其他没啥用途 公网没这个域名的解析的
        27
    Showfom   2016-10-02 14:06:02 +08:00 via Android
    @mornlight 来我 tg 群玩玩
        28
    mornlight   2016-10-02 14:06:33 +08:00
    @Livid 自动插入空格的处理逻辑可能有点问题,中文 引号前面是不需要空格的。
        29
    LinEvil   2016-10-02 14:56:26 +08:00 via Android
    @Showfom 求峰总 tg 群链接
        30
    laukwanchan   2016-10-02 15:16:12 +08:00 via iPhone
    兽兽你是要搞大新闻啊
        31
    Technetiumer   2016-10-02 15:41:44 +08:00
    @breeswish 而 @Showfom 并不持有 sb./

    @dynos01 合法, 根域名可以解析,你看看

    to./

    dk./

    因此有个问题 https://www.v2ex.com/t/310270
        32
    huihuimoe   2016-10-02 16:55:03 +08:00 via Android
    @Technetiumer ai/ (つд⊂)エーン
        33
    cocochan   2016-10-02 19:45:01 +08:00 via iPhone
    @Showfom Showfom 大佬快告诉我 to./ 这种怎么弄的
        34
    jasontse   2016-10-02 19:54:23 +08:00 via iPad
    @cocochan 部分浏览器会在前面补齐 www 所以其实是 www.to
        35
    Mac   2016-10-02 20:16:57 +08:00
    域名贩子。。。
        36
    Showfom   2016-10-03 01:20:21 +08:00 via iPhone
    @cocochan
    @jasontse 每个注册局的原始域名就是比如 to. 设置了 DNS 而已 我们所有的域名都是他们的二级域名 注册了 NS 记录 所以他们设置个 A 记录就可以直接用了
        37
    ChaosPark   2016-10-03 05:46:52 +08:00
    搞得像卖军火的似的。
        38
    megatron   2016-10-03 07:52:13 +08:00
    comodo 知道这个问题,算不上什么“诱使”。
    这个新闻很有意思,国内有的使用“域名投资者”,使用“域名贩子”作为标题。
        39
    jasontse   2016-10-03 08:39:08 +08:00 via Android
    @Showfom 可是很明显这两个不是这么做的
        40
    Delbert   2016-10-03 08:40:38 +08:00 via Android
    @skydiver 赶紧去知乎提问
        41
    Showfom   2016-10-03 13:21:18 +08:00 via iPhone
    @jasontse 你去慢慢看域名的基本知识吧
        42
    jasontse   2016-10-03 14:05:11 +08:00 via iPad
    @Showfom
    [email protected]:~# dig to +short
    [email protected]:~# dig www.to +short
    192.254.189.127
    [email protected]:~# dig dk +short
    [email protected]:~# dig www.dk +short
    194.88.217.54

    我当然是查过 DNS 才这么回答他的
        43
    Showfom   2016-10-03 15:47:52 +08:00 via iPhone
    @jasontse 你忘记加个点了

    dig to.

    试试
        44
    jasontse   2016-10-03 16:09:51 +08:00 via iPad
    @Showfom 点本来就是隐含在内的
    [email protected]:~# dig to.|grep ANSWER
    ;; flags: qr rd ra; QUERY: 1, ANSWER: **0**, AUTHORITY: 0, ADDITIONAL: 0
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2578 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 13:50 · PVG 21:50 · LAX 06:50 · JFK 09:50
    ♥ Do have faith in what you're doing.