局域网内自签 https 证书难道不需要证明对该域名的所有权？

所以到底是自签还是 GoDaddy 的 CA 签的？如果发现 CA 滥发证书的话，可以去 Mozilla 社区举报： https://wiki.mozilla.org/CA/Incident_Dashboard

我想到一种可能，他就是把这个域名签到特定的局域网 ip 里了（甚至更过分，使用广域网 ip 来做局域网 ip 了）

@keyfunc 应该是 Go Daddy 签的， 难道狗爹给域名发证书可以不用验证域名所有权吗

发出来看看

@zhengfan2016 大可能性是用了 oa 的什么 saas 服务，服务上有 oa.com 的控制权

如果是真的 ct log 应该能查到

把证书发出来看下就知道是不是自签了。有可能是他们自签的 CA 和 goDaddy 的差不多名称

有没可能 it 出厂的电脑直接植入了根证书？

是公司办公内网，又不是任意网页证书，有个域名所有权也是很正常的。

oa.com 好像是腾讯内网的域名吧

证书跟域名绑定，域名根据 DNS 解析到 IP ，所以证书跟是不是内网没有关系。

比如我现在就有个域名，用 let‘s encrypt 发了证书，然后无论我 DNS 上将这个域名解析到哪个 IP 都可以，不管是公网还是内网 IP 。浏览器会根据域名找 DNS 确认是哪个 IP ，但是在验证证书阶段就完全不管 IP 的事情了，只关心服务器返回的加密数据是否可以使用本地对应域名的密钥解密。

只要是公共 CA 签发的证书，浏览器和操作系统通常都内置了公钥，不需要额外安装。

公共 CA 给域名签发证书，如果域名在公网就可以直连验证所有权，如果域名在内网就没法直连验证所有权，但是有其他方式可以验证所有权，比如域名持有者可以在 DNS 上添加特殊记录来证明自己拥有这个域名。

CN = Go Daddy Secure Certificate Authority - G2
OU = http://certs.godaddy.com/repository/
O = GoDaddy.com, Inc.
L = Scottsdale
ST = Arizona
C = US
在 9/8/22, 10:28:44 PM GMT+8 确实签发了 oa.com 的证书，如果证书跟这个一致的话，估计真的拿到了这个证书的 key

https://cdn.renfei.net/tmp/_.oa.com.cer

楼主至少给一个哈希值啊，这样就知道是不是自签的。

你说到谁签发这个事情，是名字些的是 godaddy 还是就有 godaddy 的证书链？这两种情况完全不一样。

补充一个哈希值出来，我们验一下就知道了。

oa.com 外网访问也是有证书的.
应该是实际持有 oa.com 这个域名.

另外,只有有域名所有权,就可以申请到 https 证书,用到内网还是外网服务器都可以.

哪家公司? 能拥有这个域名

腾讯的么？
腾讯工作机器自带了腾讯自己的根正处

@illl 其实腾讯只是盗用而已
估计是古代某个没文化的同事随便设置的

见过很多公司，内部利用 DNS ，用的通常都是 2-3 个字母得域名。比如某公司对内所有业务都是 xx.dw.com 。其实他们并不拥有 dw.com 得所有权。

@julyclyde 签个与真正 CA 同名的可以做透明监控看起来也不起眼