V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lhx2008
V2EX  ›  问与答

如果 CA 未经验证就给域名签发了 SSL 证书,那么这个证书会被用于劫持吗?

  •  
  •   lhx2008 · 2018-11-26 19:23:46 +08:00 · 1481 次点击
    这是一个创建于 2189 天前的主题,其中的信息可能已经有所发展或是发生改变。
    像网上可以找到一些野卡,无需验证 DNS 就可以给你想要的域名签发证书。或者 CA 有些 API 允许主机商直接创建某域名的证书(不会暴露私钥,但是主机商可以掌握)。或者是 CA 在验证 DNS 的时候被服务器当地的 ISP 做了 DNS 抢答,从而错误验证签发证书。

    那么,这些意外签发到证书,可以用于 HTTPS 劫持吗,不是窃取内容,而是直接伪造一个这个域名对应的服务器。
    12 条回复    2018-11-27 10:07:59 +08:00
    fqzz
        1
    fqzz  
       2018-11-26 19:46:17 +08:00
    哪里找得到?
    LanFomalhaut
        2
    LanFomalhaut  
       2018-11-26 19:51:09 +08:00   ❤️ 1
    1、不清楚
    2、创建那个一般要求域名 cname 到主机商指定的域名
    3、如果 ISP 的 DNS 能知道需要返回什么结果才可以通过认证的话 那这个适用于任何场景
    4、如果的确误签发了 那这个证书的确是可以使用的 因为 CA 是可信的.
    lhx2008
        3
    lhx2008  
    OP
       2018-11-26 19:51:40 +08:00
    @fqzz 之前有个 しら SSL 可以直接签发,AlphaSSL 的,我上次试了下不需要验证 DNS 就直接签发了。不过好像现在打不开
    lhx2008
        4
    lhx2008  
    OP
       2018-11-26 19:53:13 +08:00
    @lhx2008 突然想起来了,那个好像是用 WHOIS 的邮箱验证的,我一下忘了。不好意思哈哈
    shansing
        5
    shansing  
       2018-11-26 19:53:20 +08:00   ❤️ 1
    有些主机商可以创建证书,是因为 CA 除了 DNS 验证还支持 HTTP 验证。主机商自然是可以配合创建好文件的。
    29EtwXn6t5wgM3fD
        6
    29EtwXn6t5wgM3fD  
       2018-11-26 20:14:49 +08:00
    光有证书你怎么劫持域名解析到你的服务器上呢
    lhx2008
        7
    lhx2008  
    OP
       2018-11-26 20:21:08 +08:00
    @shengyu 只要控制了 DNS 就可以吧,像局域网,或者地方 ISP,当然好像未经验证签发的可能性没有我想象中那么大。
    msg7086
        8
    msg7086  
       2018-11-27 01:01:40 +08:00   ❤️ 1
    当 场 吊 销 C A。
    ryd994
        9
    ryd994  
       2018-11-27 05:40:06 +08:00 via Android   ❤️ 1
    有先例啊
    CNNIC 不就被怼到死了
    因为有人瞎签 Google 的证书。想不到 Chrome 会检测自家的证书。虽然是测试用,依然不可接受。
    azh7138m
        10
    azh7138m  
       2018-11-27 09:07:50 +08:00 via Android   ❤️ 1
    是可以啊,你看赛门铁克下场多惨 :doge:
    julyclyde
        11
    julyclyde  
       2018-11-27 09:50:20 +08:00
    没验证就签发的 CA,会被 cabforum 吊销“预置在浏览器里”的资格
    flowfire
        12
    flowfire  
       2018-11-27 10:07:59 +08:00 via iPhone   ❤️ 1
    上一个这么做的赛门铁克,上上一个这么做的沃通,以及上上上一个这么做的 CNNIC,现在坟头草已经有三米高了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2657 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:52 · PVG 13:52 · LAX 21:52 · JFK 00:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.