关于 cf 签发的证书

2020-07-25 18:33:39 +08:00
 Actrace
cf 好像可以签发任意域名的证书,然后如果在 ISP 里劫持了某个域名的解析结果,再配合这个签发的证书,是不是就可以中间人了。
3396 次点击
所在节点    Cloudflare
8 条回复
cydian
2020-07-25 18:36:04 +08:00
你无法下载 cf 颁发的证书
isp 劫持得在 cf 当地实现
Actrace
2020-07-25 18:47:34 +08:00
@cydian 我的意思是说 cf 有这个签发任意域名证书的能力的话,假如中国移动也有。
mxT52CRuqR6o5
2020-07-25 18:50:31 +08:00
@Actrace cf 能签发是因为你把域名托管给了 cf,并不是任意签发
billlee
2020-07-25 18:56:10 +08:00
@Actrace #2 这个思路没什么问题。以前 CNNIC 有签发任意证书的能力,后来大家不认它发的证书了
mikeguan
2020-07-25 19:01:45 +08:00
你自己也可以签发任意证书,只是大家不认;
你自己也可以劫持任意解析,只是大家不认。
mxT52CRuqR6o5
2020-07-25 19:25:37 +08:00
看了一下 cf 签发的证书好像是自己签发的
首先你要明白,现在的证书安全机制其实就是个安全游戏,在大家都遵守规则的情况下才能保证安全
如果证书颁发机构胡乱签发证书是有做到中间人攻击的可行性的,但代价也很大,就是被人发现后这个签发机构就废了(正如楼上提到的 CNNIC ),所以大家通常都会遵守规则
https://www.zhihu.com/question/65649877,根据知乎上的某个回答,一个证书颁发机构价值可能上亿美元
id7368
2020-07-26 00:02:33 +08:00
CF 是 CA 机构才有任意签发的能力,CA 机构有严格的审计,你托管了才能签发,其他机构也是如此
009694
2020-07-27 09:13:03 +08:00
关键是私钥。没有 cf 证书的私钥,也就没没办法挪作他用

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/693073

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX