V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yeyeye
V2EX  ›  问与答

当你看到别人的 SSL 证书里有你注册的域名是什么体验?

  •  
  •   yeyeye · 2015-11-17 09:38:31 +08:00 · 2978 次点击
    这是一个创建于 3312 天前的主题,其中的信息可能已经有所发展或是发生改变。
    域名可以只注册一年,甚至更短时间,但是 SSL 证书却可以注册多年

    也就是说你手里的域名,有可能别人在之前拥有它的时候创建了一个长时间的 SSL 证书……

    比如说沃通的 SSL ,免费的就支持 3 年的,还是多域名的。(现在似乎不行了)

    看着别人的域名上挂着的 SSL 证书,里面却有你的域名,甚至可能你域名过期了,他的 SSL 还没过期,还挂在网站上……

    似乎也没谁考虑到这个问题,但是它却真实存在
    15 条回复    2015-11-17 16:43:56 +08:00
    laoyur
        1
    laoyur  
       2015-11-17 09:44:55 +08:00   ❤️ 1
    这就叫缘分,谁让你注册了别人用过的域名呢
    username10086
        2
    username10086  
       2015-11-17 09:50:43 +08:00   ❤️ 1
    你的域名也不一定会永远是你的,你也只是租借
    wdlth
        3
    wdlth  
       2015-11-17 10:13:50 +08:00   ❤️ 1
    上次买的那个 5 年证书的过期时间比域名过期时间还晚……
    oott123
        4
    oott123  
       2015-11-17 10:36:42 +08:00 via Android   ❤️ 1
    CA 应该不允许签比域名过期时间更远的证书。
    yeyeye
        5
    yeyeye  
    OP
       2015-11-17 10:40:20 +08:00
    @laoyur
    @username10086
    SSL 存在的意义就是为了防止流量劫持,确认服务器是可信任的,但是 SSL 证书却可以购买比域名期限更久的时间,那就存在不可信的情况了。

    @wdlth
    @oott123
    我也认为该如此,不过就是不怎么好算账了
    pubby
        6
    pubby  
       2015-11-17 11:02:58 +08:00 via Android   ❤️ 1
    @yeyeye 私钥在你手上,域名在你控制下,为啥会不可信?
    yeyeye
        7
    yeyeye  
    OP
       2015-11-17 12:00:44 +08:00
    @pubby 你可能没搞清楚我所要表达的内容。

    SSL 的意义就加密传输内容,同时保障服务器身份。确定你访问的服务器就是预期的那一台,中间不存在篡改不存在监听。

    但是域名的注册时间有长有短,比如我注册了一年 pubby.com 一年,在这期间我购买了一个 SSL 证书(多域名那种,包含了很多个域名), 5 年期。

    然后我没续费了,你看到这个域名不错,你在域名过期后也注册了它。

    这时候你打开我的某个网站,发现我的 SSL 证书里,竟然有你的域名存在,你会作什么感想?如果我劫持了你的域名(劫持域名这在国内已经很常见了,不要说不可能发生之类的,也不要说没关系之类的,还记得吗, SSL 证书的信任体系,就是可信 CA 认证过的证书,它一定就是可以代替这个域名传输数据的证明,他就是所访问到的网站的预期的那台服务器)
    lianz
        8
    lianz  
       2015-11-17 12:18:17 +08:00   ❤️ 1
    @yeyeye DV 证书只能用来保证服务器和用户之间的链接是可靠的,不能保证该服务器真的就是你想连的那台服务器。想安全就买 EV 证书,没钱上 EV 证书就别逼逼什么安全啊、可信啊、 CA 认证之类的。
    julyclyde
        9
    julyclyde  
       2015-11-17 13:53:28 +08:00   ❤️ 1
    那是 CDN 服务器的多域名证书吧?
    jasontse
        10
    jasontse  
       2015-11-17 13:56:37 +08:00 via iPad   ❤️ 1
    @lianz DV 全称是 Domain Validated ,它验证了域名的所有者属某人,理论上 CA 是不应该签发比域名持有人有效期长的证书。
    phoenixlzx
        11
    phoenixlzx  
       2015-11-17 14:09:36 +08:00 via Android   ❤️ 1
    这个问题很早想过了,当时想做一个通过 oscp 检查当前域名签发证书的工具,但是发现想有意义地实现非常难...
    SharkIng
        12
    SharkIng  
       2015-11-17 14:29:18 +08:00   ❤️ 1
    这个可以投诉的吧
    xierch
        13
    xierch  
       2015-11-17 15:18:07 +08:00   ❤️ 1
    所以 LE 才把证书最长有效的定为三个月,并表示将来还会继续缩短…

    顺带, crt.sh 这里可以搜索证书签发记录
    msg7086
        14
    msg7086  
       2015-11-17 15:39:24 +08:00 via Android   ❤️ 1
    可以吊销的。
    你这种情况,最典型的就是域名过户,我注册个 5 年域名,然后过户给你,照样能过证书漏洞。
    Showfom
        15
    Showfom  
       2015-11-17 16:43:56 +08:00   ❤️ 1
    直接和 SSL 签发商投诉撤销证书即可。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2451 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:26 · PVG 08:26 · LAX 16:26 · JFK 19:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.