V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jybox
V2EX  ›  SSL

为什么 Let's Encrypt 的签发过程如此简单,是否存在被黑客利用的风险?

  •  
  •   jybox · 2015-11-10 23:48:55 +08:00 · 3925 次点击
    这是一个创建于 3331 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天体验了一下 Let's Encrypt 的签发过程,不需要任何信息,虽然填写了邮件地址,但并没有发邮件来认证,只需要在该域名的特定路径下放置特定内容的文件即可。

    SSL 证书的一个用途就是,在攻击者控制了域名解析的情况下,防止攻击者冒充该网站。但如果像 Let's Encrypt 签发流程这样简单的话,攻击者如果控制了域名解析 / Web 服务器的话,就可以申请到同样的证书。

    于是效果就是:

    • 如果攻击者控制了域名解析,那么他可以申请到该域名的证书,修改解析冒充该网站。
    • 如果攻击者控制了 Web 服务器,那么他可以申请一个有效期 90 天的证书,并在一个相对小的范围内劫持域名解析,冒充该网站。

    而传统的 CA 是通过略微复杂的流程(需要付费且不容易自动化),用更多方法去认证申请者对域名的所有权,并登记申请者的个人信息来一定程度(但并不彻底)规避这两个问题的。

    因为 Let's Encrypt 的证书已经被大家的设备信任了,所以无论你是否使用 Let's Encrypt, 你的网站和你的通讯安全都会受到威胁。

    于是是不是大家都应该去申请 Let's Encrypt 的证书,然后按时续期,以防止攻击者冒领证书呢(申请证书后再次申请需要 60 天)。

    12 条回复    2016-01-04 20:35:18 +08:00
    cnnblike
        1
    cnnblike  
       2015-11-11 00:05:57 +08:00 via iPhone
    都能控制域名解析了,这起吗也得是国家级的攻击者了。他直接把 https301 到 http 不就行了?何必这么麻烦
    sparanoid
        2
    sparanoid  
    MOD
       2015-11-11 00:14:08 +08:00 via iPhone
    我觉得这是一个方法 /t/227796

    @cnnblike 开了 HSTS 的网站相对来说会安全些
    MrGba2z
        3
    MrGba2z  
       2015-11-11 00:17:18 +08:00
    2.只控制 web 服务器的话,而解析被及时改掉指向别处的话,是申请不到证书的吧。如果解析没改,那么啥都在你手上,直接改代码就是了。。。
    1. 控制解析,不被原拥有者干扰的话,你本身就可以重新申请证书。

    最后 60 天是默认自动 renew 的时间
    可以强制提前 renew
    Showfom
        4
    Showfom  
       2015-11-11 00:19:31 +08:00
    有啊

    看我的

    https://google.com.mg/

    直接审核通过给我证书了
    chinvo
        5
    chinvo  
       2015-11-11 00:32:28 +08:00
    事实上,正如 @MrGba2z 所说,这两种攻击方式都不具备太大的威胁,另外, Let's Encrypt 证书本身设计用途就只是数据加密而非可信网站认证。
    ryd994
        6
    ryd994  
       2015-11-11 00:32:39 +08:00
    你似乎搞错了 tls 的用途, tls 只是保护传输过程安全而已。如果服务器被控制,那已经不是 tls 能保护的范围了。服务器都被攻陷了,那直接插恶意代码就好了嘛
    ev 会验证申请者的身份,价钱也更贵。
    imlonghao
        7
    imlonghao  
       2015-11-11 00:34:19 +08:00
    我用 GOGETSSL 的时候,也是支持在 http / https 下,在 WEB 目录放一个目录进行域名权限验证的。
    imlonghao
        8
    imlonghao  
       2015-11-11 00:34:50 +08:00
    *放一个文件进行*
    lianz
        9
    lianz  
       2015-11-11 00:44:31 +08:00
    DV 证书本来就是这样验证的,各大 SSL 厂商都这样,麻烦去了解一下再来大惊小怪。
    GV 、 EV 证书就麻烦多了,而且死贵死贵的。
    feather12315
        10
    feather12315  
       2015-11-11 10:01:39 +08:00 via Android
    为啥我啥都没放就可以了。。。
    就有一些 mx 记录
    babytomas
        11
    babytomas  
       2016-01-04 19:13:11 +08:00
    楼主原来还有在 v2 继续活跃,

    您那个 rootpanel 放弃开发了吗?
    jybox
        12
    jybox  
    OP
       2016-01-04 20:35:18 +08:00
    @babytomas 是的, https://jysperm.me/2015/12/summary-of-2015 这篇日志的最后一段有讲
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5870 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:21 · PVG 10:21 · LAX 18:21 · JFK 21:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.