为什么 Let's Encrypt 的签发过程如此简单,是否存在被黑客利用的风险?

2015-11-10 23:48:55 +08:00
 jybox

今天体验了一下 Let's Encrypt 的签发过程,不需要任何信息,虽然填写了邮件地址,但并没有发邮件来认证,只需要在该域名的特定路径下放置特定内容的文件即可。

SSL 证书的一个用途就是,在攻击者控制了域名解析的情况下,防止攻击者冒充该网站。但如果像 Let's Encrypt 签发流程这样简单的话,攻击者如果控制了域名解析 / Web 服务器的话,就可以申请到同样的证书。

于是效果就是:

而传统的 CA 是通过略微复杂的流程(需要付费且不容易自动化),用更多方法去认证申请者对域名的所有权,并登记申请者的个人信息来一定程度(但并不彻底)规避这两个问题的。

因为 Let's Encrypt 的证书已经被大家的设备信任了,所以无论你是否使用 Let's Encrypt, 你的网站和你的通讯安全都会受到威胁。

于是是不是大家都应该去申请 Let's Encrypt 的证书,然后按时续期,以防止攻击者冒领证书呢(申请证书后再次申请需要 60 天)。

3924 次点击
所在节点    SSL
12 条回复
cnnblike
2015-11-11 00:05:57 +08:00
都能控制域名解析了,这起吗也得是国家级的攻击者了。他直接把 https301 到 http 不就行了?何必这么麻烦
sparanoid
2015-11-11 00:14:08 +08:00
我觉得这是一个方法 /t/227796

@cnnblike 开了 HSTS 的网站相对来说会安全些
MrGba2z
2015-11-11 00:17:18 +08:00
2.只控制 web 服务器的话,而解析被及时改掉指向别处的话,是申请不到证书的吧。如果解析没改,那么啥都在你手上,直接改代码就是了。。。
1. 控制解析,不被原拥有者干扰的话,你本身就可以重新申请证书。

最后 60 天是默认自动 renew 的时间
可以强制提前 renew
Showfom
2015-11-11 00:19:31 +08:00
有啊

看我的

https://google.com.mg/

直接审核通过给我证书了
chinvo
2015-11-11 00:32:28 +08:00
事实上,正如 @MrGba2z 所说,这两种攻击方式都不具备太大的威胁,另外, Let's Encrypt 证书本身设计用途就只是数据加密而非可信网站认证。
ryd994
2015-11-11 00:32:39 +08:00
你似乎搞错了 tls 的用途, tls 只是保护传输过程安全而已。如果服务器被控制,那已经不是 tls 能保护的范围了。服务器都被攻陷了,那直接插恶意代码就好了嘛
ev 会验证申请者的身份,价钱也更贵。
imlonghao
2015-11-11 00:34:19 +08:00
我用 GOGETSSL 的时候,也是支持在 http / https 下,在 WEB 目录放一个目录进行域名权限验证的。
imlonghao
2015-11-11 00:34:50 +08:00
*放一个文件进行*
lianz
2015-11-11 00:44:31 +08:00
DV 证书本来就是这样验证的,各大 SSL 厂商都这样,麻烦去了解一下再来大惊小怪。
GV 、 EV 证书就麻烦多了,而且死贵死贵的。
feather12315
2015-11-11 10:01:39 +08:00
为啥我啥都没放就可以了。。。
就有一些 mx 记录
babytomas
2016-01-04 19:13:11 +08:00
楼主原来还有在 v2 继续活跃,

您那个 rootpanel 放弃开发了吗?
jybox
2016-01-04 20:35:18 +08:00
@babytomas 是的, https://jysperm.me/2015/12/summary-of-2015 这篇日志的最后一段有讲

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/235216

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX