关于 cf 签发的证书

你无法下载 cf 颁发的证书
isp 劫持得在 cf 当地实现

@cydian 我的意思是说 cf 有这个签发任意域名证书的能力的话，假如中国移动也有。

@Actrace cf 能签发是因为你把域名托管给了 cf，并不是任意签发

@Actrace #2 这个思路没什么问题。以前 CNNIC 有签发任意证书的能力，后来大家不认它发的证书了

你自己也可以签发任意证书，只是大家不认；
你自己也可以劫持任意解析，只是大家不认。

看了一下 cf 签发的证书好像是自己签发的
首先你要明白，现在的证书安全机制其实就是个安全游戏，在大家都遵守规则的情况下才能保证安全
如果证书颁发机构胡乱签发证书是有做到中间人攻击的可行性的，但代价也很大，就是被人发现后这个签发机构就废了（正如楼上提到的 CNNIC ），所以大家通常都会遵守规则
https://www.zhihu.com/question/65649877，根据知乎上的某个回答，一个证书颁发机构价值可能上亿美元

CF 是 CA 机构才有任意签发的能力，CA 机构有严格的审计，你托管了才能签发，其他机构也是如此

关键是私钥。没有 cf 证书的私钥，也就没没办法挪作他用