如果 CA 未经验证就给域名签发了 SSL 证书，那么这个证书会被用于劫持吗？ - V2EX

Home Sign Up Sign In

This topic created in 2761 days ago, the information mentioned may be changed or developed.

像网上可以找到一些野卡，无需验证 DNS 就可以给你想要的域名签发证书。或者 CA 有些 API 允许主机商直接创建某域名的证书（不会暴露私钥，但是主机商可以掌握）。或者是 CA 在验证 DNS 的时候被服务器当地的 ISP 做了 DNS 抢答，从而错误验证签发证书。

那么，这些意外签发到证书，可以用于 HTTPS 劫持吗，不是窃取内容，而是直接伪造一个这个域名对应的服务器。

12 replies • 2018-11-27 10:07:59 +08:00

1

fqzz

Nov 26, 2018

哪里找得到？

2

LanFomalhaut

Nov 26, 2018

1

1、不清楚
2、创建那个一般要求域名 cname 到主机商指定的域名
3、如果 ISP 的 DNS 能知道需要返回什么结果才可以通过认证的话那这个适用于任何场景
4、如果的确误签发了那这个证书的确是可以使用的因为 CA 是可信的.

3

lhx2008

OP

Nov 26, 2018

@fqzz 之前有个しら SSL 可以直接签发，AlphaSSL 的，我上次试了下不需要验证 DNS 就直接签发了。不过好像现在打不开

4

lhx2008

OP

Nov 26, 2018

@lhx2008 突然想起来了，那个好像是用 WHOIS 的邮箱验证的，我一下忘了。不好意思哈哈

5

shansing

Nov 26, 2018

1

有些主机商可以创建证书，是因为 CA 除了 DNS 验证还支持 HTTP 验证。主机商自然是可以配合创建好文件的。

6

29EtwXn6t5wgM3fD

Nov 26, 2018

光有证书你怎么劫持域名解析到你的服务器上呢

7

lhx2008

OP

Nov 26, 2018

@shengyu 只要控制了 DNS 就可以吧，像局域网，或者地方 ISP，当然好像未经验证签发的可能性没有我想象中那么大。

8

msg7086

Nov 27, 2018

1

当场吊销 C A。

9

ryd994

Nov 27, 2018 via Android

1

有先例啊
CNNIC 不就被怼到死了
因为有人瞎签 Google 的证书。想不到 Chrome 会检测自家的证书。虽然是测试用，依然不可接受。

10

azh7138m

Nov 27, 2018 via Android

1

是可以啊，你看赛门铁克下场多惨 :doge:

11

julyclyde

Nov 27, 2018

没验证就签发的 CA，会被 cabforum 吊销“预置在浏览器里”的资格

12

flowfire

Nov 27, 2018 via iPhone

1

上一个这么做的赛门铁克，上上一个这么做的沃通，以及上上上一个这么做的 CNNIC，现在坟头草已经有三米高了

About · Help · Advertise · Blog · API · FAQ · Solana · 2694 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 67ms · UTC 13:46 · PVG 21:46 · LAX 06:46 · JFK 09:46
♥ Do have faith in what you're doing.