证书有效期大于域名有效期的情况下，域名不续费被人抢注，是不是就等于拥有了其他人域名的 SSL 证书

3 到 4 之间的时间很长

是有效的，除非中间人，正常情况下感觉也做不了什么。

证书不是有 key 的吗？抢注人没这个 key 他怎么配 ssl，当然他也可以自己申请一个 ssl，但这个和你那个不是同一个啊？

我是这么理解的。

似乎看错了，问的是上家的 key 是否有效。0.0

不会有安全问题. 一个域名可以签发多个 SSL 证书, 只要你有域名的管理员权限. 为什么无法进行中间人攻击? 因为别人的会重新申请一个 SSL 证书, 然后在 webserver (nginx) 上部署对应的 key, 您手里并没有这个 key, 所以无法进行中间人攻击. 您手里的 SSL 证书只能说是 Common name 是对的. 当然如果您可以进行域名劫持的话, 那确实是可以进行中间人攻击.

你租了一间房子
装了一把锁，能用三年（假设）
一年后没有继续交租金，房子被房东收回（所有的钥匙都还在你这）
房子被租给下一个租户
问：你原来的钥匙还能打开这个房间吗

新注册的域名所有人可以去申请原证书作废

理论上如果终端域名被劫持了是可以被欺骗。
当然如果下家知道这个情况，在证明自己是当前的实际持有人，可以向上家的 CA 申请吊销该证书。

#3 #5 回答可以解楼主疑惑。

看了楼主发的这个域名，
注册有效期是 Registry Expiry Date: 2024-03-07T19:21:51Z
证书有效期是 Expires: Thursday, April 2, 2020 at 20:00:00 China Standard Time

@virusdefender
@FanError
@ivyliner
@cjpjxjx
那如果是刻意造成这种情况并且可以中间人攻击的话，中间人使用旧主人申请的证书，客户端上是没法区分的吧（新主人买 EV 证书可破？）

理论上可行。但如果之前的证书被下家申请吊销，客户端 OCSP 查询就会失败。

好像没有什么用啊，新持有人会签发新的证书，会有新的密钥对啊

@Tink
某些特定情况下似乎可以用来做中间人攻击
客户端 ->中间人 (旧主人申请的证书的密钥对)->服务器(新主人申请的证书的密钥对)

@Tink
@FanError
@ivyliner
@cjpjxjx
@webjin1

如果下家不知道的话，肯定存在中间人的风险，因为老的证书并没有失效。

@xenme #15 但是老的证书也没有部署呀

如果说从中间人攻击的角度考虑，只要你能签出来证书，都是可以拿来用的。但是域名不在你手上的情况，要是想搞一个证书，这就看证书发行商的验证机制做的如何了。

@Tink 比如劫持到 dns 或者中间链路等，你首先访问的是攻击的人的服务器，攻击的人部署的是旧的证书和 key，因为没有被吊销，所以对用户来说依然是可信的，访问并没有任何问题。

攻击者收到请求后代用户发起请求到真正的服务器，此时攻击者就是个普通客户端，但是中转一下就已经实现了中间人并查看了所有的连接请求。

@xenme @oblivion 你们是对的. 中间人攻击确实是有效的.

The domain (which will expired by tomorrow) for which you have already renewed SSL certificate, the SSL certificate is effective (depending on the validity of the certificate) also after the expiration of the domain, if you renew that same domain and server is also same. But if server is different then you will have to reissue SSL certificate for that domain. Mostly reissue feature comes with mostly certificate authority SSL certificates https://www.clickssl.net/ssl-certificate-authorities