当你看到别人的 SSL 证书里有你注册的域名是什么体验?

2015-11-17 09:38:31 +08:00
 yeyeye
域名可以只注册一年,甚至更短时间,但是 SSL 证书却可以注册多年

也就是说你手里的域名,有可能别人在之前拥有它的时候创建了一个长时间的 SSL 证书……

比如说沃通的 SSL ,免费的就支持 3 年的,还是多域名的。(现在似乎不行了)

看着别人的域名上挂着的 SSL 证书,里面却有你的域名,甚至可能你域名过期了,他的 SSL 还没过期,还挂在网站上……

似乎也没谁考虑到这个问题,但是它却真实存在
2961 次点击
所在节点    问与答
15 条回复
laoyur
2015-11-17 09:44:55 +08:00
这就叫缘分,谁让你注册了别人用过的域名呢
username10086
2015-11-17 09:50:43 +08:00
你的域名也不一定会永远是你的,你也只是租借
wdlth
2015-11-17 10:13:50 +08:00
上次买的那个 5 年证书的过期时间比域名过期时间还晚……
oott123
2015-11-17 10:36:42 +08:00
CA 应该不允许签比域名过期时间更远的证书。
yeyeye
2015-11-17 10:40:20 +08:00
@laoyur
@username10086
SSL 存在的意义就是为了防止流量劫持,确认服务器是可信任的,但是 SSL 证书却可以购买比域名期限更久的时间,那就存在不可信的情况了。

@wdlth
@oott123
我也认为该如此,不过就是不怎么好算账了
pubby
2015-11-17 11:02:58 +08:00
@yeyeye 私钥在你手上,域名在你控制下,为啥会不可信?
yeyeye
2015-11-17 12:00:44 +08:00
@pubby 你可能没搞清楚我所要表达的内容。

SSL 的意义就加密传输内容,同时保障服务器身份。确定你访问的服务器就是预期的那一台,中间不存在篡改不存在监听。

但是域名的注册时间有长有短,比如我注册了一年 pubby.com 一年,在这期间我购买了一个 SSL 证书(多域名那种,包含了很多个域名), 5 年期。

然后我没续费了,你看到这个域名不错,你在域名过期后也注册了它。

这时候你打开我的某个网站,发现我的 SSL 证书里,竟然有你的域名存在,你会作什么感想?如果我劫持了你的域名(劫持域名这在国内已经很常见了,不要说不可能发生之类的,也不要说没关系之类的,还记得吗, SSL 证书的信任体系,就是可信 CA 认证过的证书,它一定就是可以代替这个域名传输数据的证明,他就是所访问到的网站的预期的那台服务器)
lianz
2015-11-17 12:18:17 +08:00
@yeyeye DV 证书只能用来保证服务器和用户之间的链接是可靠的,不能保证该服务器真的就是你想连的那台服务器。想安全就买 EV 证书,没钱上 EV 证书就别逼逼什么安全啊、可信啊、 CA 认证之类的。
julyclyde
2015-11-17 13:53:28 +08:00
那是 CDN 服务器的多域名证书吧?
jasontse
2015-11-17 13:56:37 +08:00
@lianz DV 全称是 Domain Validated ,它验证了域名的所有者属某人,理论上 CA 是不应该签发比域名持有人有效期长的证书。
phoenixlzx
2015-11-17 14:09:36 +08:00
这个问题很早想过了,当时想做一个通过 oscp 检查当前域名签发证书的工具,但是发现想有意义地实现非常难...
SharkIng
2015-11-17 14:29:18 +08:00
这个可以投诉的吧
xierch
2015-11-17 15:18:07 +08:00
所以 LE 才把证书最长有效的定为三个月,并表示将来还会继续缩短…

顺带, crt.sh 这里可以搜索证书签发记录
msg7086
2015-11-17 15:39:24 +08:00
可以吊销的。
你这种情况,最典型的就是域名过户,我注册个 5 年域名,然后过户给你,照样能过证书漏洞。
Showfom
2015-11-17 16:43:56 +08:00
直接和 SSL 签发商投诉撤销证书即可。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/236675

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX