如果 CA 未经验证就给域名签发了 SSL 证书,那么这个证书会被用于劫持吗?

2018-11-26 19:23:46 +08:00
 lhx2008
像网上可以找到一些野卡,无需验证 DNS 就可以给你想要的域名签发证书。或者 CA 有些 API 允许主机商直接创建某域名的证书(不会暴露私钥,但是主机商可以掌握)。或者是 CA 在验证 DNS 的时候被服务器当地的 ISP 做了 DNS 抢答,从而错误验证签发证书。

那么,这些意外签发到证书,可以用于 HTTPS 劫持吗,不是窃取内容,而是直接伪造一个这个域名对应的服务器。
1413 次点击
所在节点    问与答
12 条回复
fqzz
2018-11-26 19:46:17 +08:00
哪里找得到?
LanFomalhaut
2018-11-26 19:51:09 +08:00
1、不清楚
2、创建那个一般要求域名 cname 到主机商指定的域名
3、如果 ISP 的 DNS 能知道需要返回什么结果才可以通过认证的话 那这个适用于任何场景
4、如果的确误签发了 那这个证书的确是可以使用的 因为 CA 是可信的.
lhx2008
2018-11-26 19:51:40 +08:00
@fqzz 之前有个 しら SSL 可以直接签发,AlphaSSL 的,我上次试了下不需要验证 DNS 就直接签发了。不过好像现在打不开
lhx2008
2018-11-26 19:53:13 +08:00
@lhx2008 突然想起来了,那个好像是用 WHOIS 的邮箱验证的,我一下忘了。不好意思哈哈
shansing
2018-11-26 19:53:20 +08:00
有些主机商可以创建证书,是因为 CA 除了 DNS 验证还支持 HTTP 验证。主机商自然是可以配合创建好文件的。
shengyu
2018-11-26 20:14:49 +08:00
光有证书你怎么劫持域名解析到你的服务器上呢
lhx2008
2018-11-26 20:21:08 +08:00
@shengyu 只要控制了 DNS 就可以吧,像局域网,或者地方 ISP,当然好像未经验证签发的可能性没有我想象中那么大。
msg7086
2018-11-27 01:01:40 +08:00
当 场 吊 销 C A。
ryd994
2018-11-27 05:40:06 +08:00
有先例啊
CNNIC 不就被怼到死了
因为有人瞎签 Google 的证书。想不到 Chrome 会检测自家的证书。虽然是测试用,依然不可接受。
azh7138m
2018-11-27 09:07:50 +08:00
是可以啊,你看赛门铁克下场多惨 :doge:
julyclyde
2018-11-27 09:50:20 +08:00
没验证就签发的 CA,会被 cabforum 吊销“预置在浏览器里”的资格
flowfire
2018-11-27 10:07:59 +08:00
上一个这么做的赛门铁克,上上一个这么做的沃通,以及上上上一个这么做的 CNNIC,现在坟头草已经有三米高了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/511705

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX