V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qq529633582
V2EX  ›  问与答

如何防止 DNS 方面获得你的 HTTPS 证书

  •  
  •   qq529633582 · 2015-10-22 13:42:38 +08:00 · 4354 次点击
    这是一个创建于 3352 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在证书颁发机构通常使用域名 TXT 解析记录和 HTTP 文件校验的方式检查申请人是否是域名持有人,如果 DNS 干坏事骗到了证书咋办呢?

    DNS 的准入条件可比默认受信任的证书颁发机构低多了呢

    15 条回复    2015-10-22 20:10:37 +08:00
    hging
        1
    hging  
       2015-10-22 13:48:18 +08:00
    你是怎么得到 DNS 的准入条件比证书办法机构低的这个结论的?
    msg7086
        2
    msg7086  
       2015-10-22 14:09:53 +08:00
    换一家 DNS 不就行了。
    你自己去用来路不明厂家的 DNS 怪谁呢。

    DNS 要使坏还用骗你的 HTTPS 证书?
    直接解析去第三方做流量过滤就行了,要这么累做什么。
    chinassl
        3
    chinassl  
       2015-10-22 14:13:09 +08:00
    @msg7086

    这么一说, DNS 服务器还是比较重要了,野鸡 DNS 还是不要用的好
    ryd994
        4
    ryd994  
       2015-10-22 14:54:45 +08:00 via Android
    @chinassl 何止是比较重要……
    生命线啊……
    Shieffan
        5
    Shieffan  
       2015-10-22 15:10:30 +08:00
    花高价上 EV SSL 就是了

    这个信任链中的每一环都是这样,花多少钱买多少钱的安全
    ryd994
        6
    ryd994  
       2015-10-22 15:12:01 +08:00 via Android
    另外,只验证域名的是 DV 证书
    有小绿条的 EV 证书是要另外验证身份的
    clino
        7
    clino  
       2015-10-22 15:20:19 +08:00
    "DNS 干坏事骗到了证书"
    这个要怎么做到?
    就是别人可以让某个你的域名的 dns 记录指向某个特定的 ip? 或者至少 https 供应商的验证域名的服务使用的 dns 服务能指向某个特定的 ip

    第一个域名肯定被盗了
    第二个他怎么知道验证域名使用的是那个 dns 服务器?基本上也要黑到 https 供应商家里去才行吧?
    qq529633582
        8
    qq529633582  
    OP
       2015-10-22 16:07:02 +08:00
    @hging @clino 不好意思我没说清楚,我说的 DNS 是指你用的 dnspod 这样的服务,不是验证服务器上设置的解析服务器

    就怕是 DNS 偷偷弄到你的证书然后囤下来,他不拿出来用就没人知道
    phoenixlzx
        9
    phoenixlzx  
       2015-10-22 16:08:43 +08:00
    DNS 要如何偷偷弄到你的证书... 私密的是 key 不是 crt...
    qq529633582
        10
    qq529633582  
    OP
       2015-10-22 16:10:02 +08:00
    @Shieffan @ryd994 不大了解 EV SSL ,但如果中间人扔给你一个 DV 证书,用户一般不大在意有没有小绿条吧,还是浏览器会做检查么?求指点
    qq529633582
        11
    qq529633582  
    OP
       2015-10-22 16:11:03 +08:00
    @phoenixlzx 就是你用的 dnspod 之类的服务盗了你的域名用来申请证书但可以完全不打扰到你~
    Shieffan
        12
    Shieffan  
       2015-10-22 16:20:25 +08:00
    @qq529633582 一般情况下浏览器不会检查,但如 Chrome 似乎会将合法但异常的 ssl 证书上报。

    如果你担心 NS 托管商搞鬼,只有靠域名所有人自建 NS 服务器。

    似乎没有针对域名托管商的具有法律约束力的协议条款。

    其实大厂也是这么干的,自建 NS 服务器。
    clino
        13
    clino  
       2015-10-22 19:11:31 +08:00
    @qq529633582 dnspod 我没概念是什么 查了一下是智能 dns 解析 感觉跟 cdn 供应商具备的能力差不多
    其实如果你用了 cdn cdn 供应商是不是也可能具备类似的能力,因为你的域名要交由他们来解析
    hjc4869
        14
    hjc4869  
       2015-10-22 19:48:04 +08:00
    用信任的 DNS 提供商。
    如果发行证书不是验证 whois 邮箱之类的,而只是验证 TXT 记录什么的,那就真的没办法防,只能靠最基本的信任了……
    Showfom
        15
    Showfom  
       2015-10-22 20:10:37 +08:00 via iPhone
    @hjc4869 一般都验证域名邮箱,因为 whois 格式大家都不一样
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3096 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:23 · PVG 21:23 · LAX 05:23 · JFK 08:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.