当你看到别人的 SSL 证书里有你注册的域名是什么体验？

这就叫缘分，谁让你注册了别人用过的域名呢

你的域名也不一定会永远是你的，你也只是租借

上次买的那个 5 年证书的过期时间比域名过期时间还晚……

CA 应该不允许签比域名过期时间更远的证书。

@laoyur
@username10086
SSL 存在的意义就是为了防止流量劫持，确认服务器是可信任的，但是 SSL 证书却可以购买比域名期限更久的时间，那就存在不可信的情况了。

@wdlth
@oott123
我也认为该如此，不过就是不怎么好算账了

@yeyeye 私钥在你手上，域名在你控制下，为啥会不可信？

@pubby 你可能没搞清楚我所要表达的内容。

SSL 的意义就加密传输内容，同时保障服务器身份。确定你访问的服务器就是预期的那一台，中间不存在篡改不存在监听。

但是域名的注册时间有长有短，比如我注册了一年 pubby.com 一年，在这期间我购买了一个 SSL 证书（多域名那种，包含了很多个域名）， 5 年期。

然后我没续费了，你看到这个域名不错，你在域名过期后也注册了它。

这时候你打开我的某个网站，发现我的 SSL 证书里，竟然有你的域名存在，你会作什么感想？如果我劫持了你的域名（劫持域名这在国内已经很常见了，不要说不可能发生之类的，也不要说没关系之类的，还记得吗， SSL 证书的信任体系，就是可信 CA 认证过的证书，它一定就是可以代替这个域名传输数据的证明，他就是所访问到的网站的预期的那台服务器）

@yeyeye DV 证书只能用来保证服务器和用户之间的链接是可靠的，不能保证该服务器真的就是你想连的那台服务器。想安全就买 EV 证书，没钱上 EV 证书就别逼逼什么安全啊、可信啊、 CA 认证之类的。

那是 CDN 服务器的多域名证书吧？

@lianz DV 全称是 Domain Validated ，它验证了域名的所有者属某人，理论上 CA 是不应该签发比域名持有人有效期长的证书。

这个问题很早想过了，当时想做一个通过 oscp 检查当前域名签发证书的工具，但是发现想有意义地实现非常难...

这个可以投诉的吧

所以 LE 才把证书最长有效的定为三个月，并表示将来还会继续缩短…

顺带， crt.sh 这里可以搜索证书签发记录

可以吊销的。
你这种情况，最典型的就是域名过户，我注册个 5 年域名，然后过户给你，照样能过证书漏洞。

直接和 SSL 签发商投诉撤销证书即可。