这是一个创建于 1574 天前的主题,其中的信息可能已经有所发展或是发生改变。
cf 好像可以签发任意域名的证书,然后如果在 ISP 里劫持了某个域名的解析结果,再配合这个签发的证书,是不是就可以中间人了。
 |
1
cydian 2020-07-25 18:36:04 +08:00 via Android
你无法下载 cf 颁发的证书
isp 劫持得在 cf 当地实现 |
 |
3
mxT52CRuqR6o5 2020-07-25 18:50:31 +08:00 via Android
@Actrace cf 能签发是因为你把域名托管给了 cf,并不是任意签发
|
 |
5
mikeguan 2020-07-25 19:01:45 +08:00 via Android  2
你自己也可以签发任意证书,只是大家不认;
你自己也可以劫持任意解析,只是大家不认。 |
|
6
mxT52CRuqR6o5 2020-07-25 19:25:37 +08:00
看了一下 cf 签发的证书好像是自己签发的
首先你要明白,现在的证书安全机制其实就是个安全游戏,在大家都遵守规则的情况下才能保证安全 如果证书颁发机构胡乱签发证书是有做到中间人攻击的可行性的,但代价也很大,就是被人发现后这个签发机构就废了(正如楼上提到的 CNNIC ),所以大家通常都会遵守规则 https://www.zhihu.com/question/65649877,根据知乎上的某个回答,一个证书颁发机构价值可能上亿美元 |
 |
7
id7368 2020-07-26 00:02:33 +08:00 via iPhone
CF 是 CA 机构才有任意签发的能力,CA 机构有严格的审计,你托管了才能签发,其他机构也是如此
|
 |
8
009694 2020-07-27 09:13:03 +08:00
关键是私钥。没有 cf 证书的私钥,也就没没办法挪作他用
|
Select Language