域名转让的时候，如何处理证书问题？

没啥风险，除非做了 dns 劫持。

理论上存在这种风险，中间人攻击其中一种方式就是 DNS 劫持，再有合法证书加持简直完美

确实存在，但现在劫持的难度也不低，并且劫持带来的价值未必能回本。

如果担心，可以在 crt.sh 查询是否存在有效的证书，如果存在，可以写信给 ca 申请吊销。

在这里检查指定域名的所有证书情况： https://crt.sh/?q=v2ex.com
证书都过期的就没事了

要完成中间人攻击，你还得劫持受害人的通信流量（例如 DNS 污染劫持，或者直接劫持物理网络的通信流量）。除了政府和相关部门，企业受管理的局域网，其他个人很难做到。

@Shiroka
@totoro625
用了楼上两们提供的地址 查了一下我自己的域名
我从来没有申请过 google 家的证书
为啥能查到 google 家的 ssl 结果？

@bestsanmao 我也看到域名里有谷歌的证书，也没申请过，域名也没在谷歌放也没用谷歌服务

1. 通过 CT 可以查询到域名所有生效的证书
2. 签发吊销证书

@bestsanmao
@feirisu
如果有用 cloudflare 的话，它会自动用域名签发 google 证书。

@bestsanmao
@feirisu

有没有托管在 cloud flare ? CF 可能会申请多个证书，做备用

@cccer @lichao 确实是有放在 cf ，应该就是了

@cccer
@lichao
谢谢
是用的 cf 做 dns 解析

确实存在中间人攻击的风险。如果他们有心的话，仍然可以在过期之前使用旧的证书和私钥来进行攻击。

有可能，不过好像是可以吊销的，要去找上级证书服务商去提申请吧。如果是云厂商注册的，可以在控制台吊销试下

有个笨办法，如果不着急用并且实在担心的话就等一年后再开始使用。
因为目前 ssl 证书最长的有效期就是 1 年。

你拥有域名和域名解析权的话，所有 SSL 证书都做不了什么事。
就算是中间人劫持也有办法强制要求 CA 处理，时间问题。

感谢各位的回复。有 V 友提到可以吊销证书，这个确实是尽快解除风险的直接有效手段。我顺便去查了下浏览器是如何检查已吊销证书的，总结下给大家参考：最开始是使用过证书吊销列表 CRL 去检测，因为列表文件太大，更新不及时，后来就通过 OCSP 协议去向 CA 机构发请求实时验证，但这种方法存在请求失败的情况，还引入了隐私和性能问题。后来又升级成用 OCSP Stapling 进行检测，但解决不了降级攻击，最后在证书里加了一个 extension ，演变成了 OCSP Must-Stapling 。有几篇文章写得挺好的，贴出来供大家参考：

浏览器如何检查已吊销证书：
https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/

网页加载优化：ocsp-stapling
https://www.ssl.com/article/page-load-optimization-ocsp-stapling/

高可靠性 OCSP Stapling 及其重要性
https://blog.cloudflare.com/high-reliability-ocsp-stapling

OCSP Must-Staple: 有效的吊销手段
https://venafi.com/blog/ocsp-must-staple/

@cccer 多年前我应该是弄了 CF 这个服务，但当年的注册邮箱没了，请问如何能登录 CF 进去查看相应域名的服务呢？

@crc8 只要把域名转出来了，CF 就没法去自动签证书