局域网内自签 https 证书难道不需要证明对该域名的所有权?

2023-09-12 09:06:29 +08:00
 zhengfan2016

如题,最近发现朋友公司的内网 oa.com 居然不需要客户端安装证书就能被信任,证书颁发者是 Go Daddy Secure Certificate Authority - G2 。这到底怎么做到的,不理解。难道朋友公司有 oa.com 的所有权吗

2666 次点击
所在节点    问与答
21 条回复
keyfunc
2023-09-12 09:14:38 +08:00
所以到底是自签还是 GoDaddy 的 CA 签的?如果发现 CA 滥发证书的话,可以去 Mozilla 社区举报: https://wiki.mozilla.org/CA/Incident_Dashboard
xomix
2023-09-12 09:17:30 +08:00
我想到一种可能,他就是把这个域名签到特定的局域网 ip 里了(甚至更过分,使用广域网 ip 来做局域网 ip 了)
zhengfan2016
2023-09-12 09:17:49 +08:00
@keyfunc 应该是 Go Daddy 签的, 难道狗爹给域名发证书可以不用验证域名所有权吗
leonshaw
2023-09-12 09:18:16 +08:00
发出来看看
keyfunc
2023-09-12 09:21:45 +08:00
@zhengfan2016 大可能性是用了 oa 的什么 saas 服务,服务上有 oa.com 的控制权
leonshaw
2023-09-12 09:22:26 +08:00
如果是真的 ct log 应该能查到
pridealloverme
2023-09-12 09:32:46 +08:00
把证书发出来看下就知道是不是自签了。有可能是他们自签的 CA 和 goDaddy 的差不多名称
tpsxiong
2023-09-12 09:43:10 +08:00
有没可能 it 出厂的电脑直接植入了根证书?
tool2d
2023-09-12 10:10:04 +08:00
是公司办公内网,又不是任意网页证书,有个域名所有权也是很正常的。
illl
2023-09-12 10:13:15 +08:00
oa.com 好像是腾讯内网的域名吧
libook
2023-09-12 10:20:03 +08:00
证书跟域名绑定,域名根据 DNS 解析到 IP ,所以证书跟是不是内网没有关系。

比如我现在就有个域名,用 let‘s encrypt 发了证书,然后无论我 DNS 上将这个域名解析到哪个 IP 都可以,不管是公网还是内网 IP 。浏览器会根据域名找 DNS 确认是哪个 IP ,但是在验证证书阶段就完全不管 IP 的事情了,只关心服务器返回的加密数据是否可以使用本地对应域名的密钥解密。

只要是公共 CA 签发的证书,浏览器和操作系统通常都内置了公钥,不需要额外安装。

公共 CA 给域名签发证书,如果域名在公网就可以直连验证所有权,如果域名在内网就没法直连验证所有权,但是有其他方式可以验证所有权,比如域名持有者可以在 DNS 上添加特殊记录来证明自己拥有这个域名。
renfei
2023-09-12 10:26:26 +08:00
CN = Go Daddy Secure Certificate Authority - G2
OU = http://certs.godaddy.com/repository/
O = GoDaddy.com, Inc.
L = Scottsdale
ST = Arizona
C = US
在 9/8/22, 10:28:44 PM GMT+8 确实签发了 oa.com 的证书,如果证书跟这个一致的话,估计真的拿到了这个证书的 key

https://cdn.renfei.net/tmp/_.oa.com.cer
someday3
2023-09-12 10:27:50 +08:00
楼主至少给一个哈希值啊,这样就知道是不是自签的。

你说到谁签发这个事情,是名字些的是 godaddy 还是就有 godaddy 的证书链?这两种情况完全不一样。

补充一个哈希值出来,我们验一下就知道了。
gamexg
2023-09-12 11:06:31 +08:00
oa.com 外网访问也是有证书的.
应该是实际持有 oa.com 这个域名.

另外,只有有域名所有权,就可以申请到 https 证书,用到内网还是外网服务器都可以.
VYSE
2023-09-12 11:09:46 +08:00
哪家公司? 能拥有这个域名
InDom
2023-09-12 11:12:21 +08:00
julyclyde
2023-09-12 12:46:51 +08:00
腾讯的么?
腾讯工作机器自带了腾讯自己的根正处
julyclyde
2023-09-12 12:47:30 +08:00
@illl 其实腾讯只是盗用而已
估计是古代某个没文化的同事随便设置的
dif
2023-09-12 14:33:40 +08:00
见过很多公司,内部利用 DNS ,用的通常都是 2-3 个字母得域名。比如某公司对内所有业务都是 xx.dw.com 。其实他们并不拥有 dw.com 得所有权。
louisxxx
2023-09-12 21:23:21 +08:00
@julyclyde 签个与真正 CA 同名的可以做透明监控看起来也不起眼

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/972899

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX