这是一个创建于 2167 天前的主题,其中的信息可能已经有所发展或是发生改变。
像网上可以找到一些野卡,无需验证 DNS 就可以给你想要的域名签发证书。或者 CA 有些 API 允许主机商直接创建某域名的证书(不会暴露私钥,但是主机商可以掌握)。或者是 CA 在验证 DNS 的时候被服务器当地的 ISP 做了 DNS 抢答,从而错误验证签发证书。
那么,这些意外签发到证书,可以用于 HTTPS 劫持吗,不是窃取内容,而是直接伪造一个这个域名对应的服务器。
那么,这些意外签发到证书,可以用于 HTTPS 劫持吗,不是窃取内容,而是直接伪造一个这个域名对应的服务器。
 |
1
fqzz 2018-11-26 19:46:17 +08:00
哪里找得到?
|
 |
2
LanFomalhaut 2018-11-26 19:51:09 +08:00  1
1、不清楚
2、创建那个一般要求域名 cname 到主机商指定的域名 3、如果 ISP 的 DNS 能知道需要返回什么结果才可以通过认证的话 那这个适用于任何场景 4、如果的确误签发了 那这个证书的确是可以使用的 因为 CA 是可信的. |
 |
3
lhx2008 OP @fqzz 之前有个 しら SSL 可以直接签发,AlphaSSL 的,我上次试了下不需要验证 DNS 就直接签发了。不过好像现在打不开
|
 |
5
shansing 2018-11-26 19:53:20 +08:00 1
有些主机商可以创建证书,是因为 CA 除了 DNS 验证还支持 HTTP 验证。主机商自然是可以配合创建好文件的。
|
 |
6
29EtwXn6t5wgM3fD 2018-11-26 20:14:49 +08:00
光有证书你怎么劫持域名解析到你的服务器上呢
|
|
7
lhx2008 OP @shengyu 只要控制了 DNS 就可以吧,像局域网,或者地方 ISP,当然好像未经验证签发的可能性没有我想象中那么大。
|
 |
8
msg7086 2018-11-27 01:01:40 +08:00 1
当 场 吊 销 C A。
|
 |
9
ryd994 2018-11-27 05:40:06 +08:00 via Android 1
有先例啊
CNNIC 不就被怼到死了 因为有人瞎签 Google 的证书。想不到 Chrome 会检测自家的证书。虽然是测试用,依然不可接受。 |
 |
10
azh7138m 2018-11-27 09:07:50 +08:00 via Android 1
是可以啊,你看赛门铁克下场多惨 :doge:
|
 |
11
julyclyde 2018-11-27 09:50:20 +08:00
没验证就签发的 CA,会被 cabforum 吊销“预置在浏览器里”的资格
|
 |
12
flowfire 2018-11-27 10:07:59 +08:00 via iPhone 1
上一个这么做的赛门铁克,上上一个这么做的沃通,以及上上上一个这么做的 CNNIC,现在坟头草已经有三米高了
|
Select Language