如何防止 DNS 方面获得你的 HTTPS 证书

你是怎么得到 DNS 的准入条件比证书办法机构低的这个结论的?

换一家 DNS 不就行了。
你自己去用来路不明厂家的 DNS 怪谁呢。

DNS 要使坏还用骗你的 HTTPS 证书？
直接解析去第三方做流量过滤就行了，要这么累做什么。

@msg7086

这么一说， DNS 服务器还是比较重要了，野鸡 DNS 还是不要用的好

@chinassl 何止是比较重要……
生命线啊……

花高价上 EV SSL 就是了

这个信任链中的每一环都是这样，花多少钱买多少钱的安全

另外，只验证域名的是 DV 证书
有小绿条的 EV 证书是要另外验证身份的

"DNS 干坏事骗到了证书"
这个要怎么做到?
就是别人可以让某个你的域名的 dns 记录指向某个特定的 ip? 或者至少 https 供应商的验证域名的服务使用的 dns 服务能指向某个特定的 ip

第一个域名肯定被盗了
第二个他怎么知道验证域名使用的是那个 dns 服务器?基本上也要黑到 https 供应商家里去才行吧?

@hging @clino 不好意思我没说清楚，我说的 DNS 是指你用的 dnspod 这样的服务，不是验证服务器上设置的解析服务器

就怕是 DNS 偷偷弄到你的证书然后囤下来，他不拿出来用就没人知道

DNS 要如何偷偷弄到你的证书... 私密的是 key 不是 crt...

@Shieffan @ryd994 不大了解 EV SSL ，但如果中间人扔给你一个 DV 证书，用户一般不大在意有没有小绿条吧，还是浏览器会做检查么？求指点

@phoenixlzx 就是你用的 dnspod 之类的服务盗了你的域名用来申请证书但可以完全不打扰到你~

@qq529633582 一般情况下浏览器不会检查，但如 Chrome 似乎会将合法但异常的 ssl 证书上报。

如果你担心 NS 托管商搞鬼，只有靠域名所有人自建 NS 服务器。

似乎没有针对域名托管商的具有法律约束力的协议条款。

其实大厂也是这么干的，自建 NS 服务器。

@qq529633582 dnspod 我没概念是什么 查了一下是智能 dns 解析 感觉跟 cdn 供应商具备的能力差不多
其实如果你用了 cdn cdn 供应商是不是也可能具备类似的能力,因为你的域名要交由他们来解析

用信任的 DNS 提供商。
如果发行证书不是验证 whois 邮箱之类的，而只是验证 TXT 记录什么的，那就真的没办法防，只能靠最基本的信任了……

@hjc4869 一般都验证域名邮箱，因为 whois 格式大家都不一样