腾讯不验证域名签发赛门铁克 DV 证书是怎么做到的

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3105 天前的主题，其中的信息可能已经有所发展或是发生改变。

昨天看到免费赠送这个证书，我试着点了一下，然后没有任何验证就签发成功了，域名也没有指向腾讯云。这个是怎么做到的？

这样是不是可以用它来做中间人攻击？

签发

域名

验证

证书

29 条回复 • 2016-07-12 13:20:56 +08:00

edsgerlin

2016-05-25 10:54:58 +08:00 via Android

既然如此，试着签发 google.com ？不知道会不会导致赛门铁克 root 被 Chrome revoke ， 233

ZeroClover

2016-05-25 10:55:02 +08:00 via Android

你能签发其他域名的么

Syc

2016-05-25 10:55:13 +08:00 via Android

应该是代理了相关业务，同时系统业务逻辑没做好，

Andy1999

2016-05-25 11:00:19 +08:00 via iPhone

@edsgerlin 得先是有备案的
@ZeroClover 得接入 CDN

yeyeye

2016-05-25 11:34:17 +08:00

我认为腾讯认为它已经做了足够的验证证明你这个用户就是这个域名的所有者(管理者)，所以直接发放给你是安全的，无需再次验证？

yexm0

2016-05-25 11:51:49 +08:00 via Android

"得接入 CDN"应该是腾讯认为已经无需再验证了吧

cnnblike

2016-05-25 12:13:54 +08:00 via iPhone

你连线下的备案都能做到，腾讯觉得你肯定是这个域名的主人

orvice

2016-05-25 12:35:43 +08:00

"得接入 CDN"

就可以在你域名下放文件啦， le 也是这样的。

edsgerlin

2016-05-25 12:43:43 +08:00

@Andy1999 能备案的话，已经符合 Class 2 DV 的身份验证要求了吧，虽然不是 CA 自己验证的……

Shura

2016-05-25 13:17:03 +08:00 via Android

开通 cdn 时已经验证过域名了

xfnic

2016-05-25 13:33:12 +08:00 via iPhone

怎么开通的 HTTPS

Andy1999

2016-05-25 13:37:34 +08:00 via iPhone

@yexm0 接入 CDN 无需任何验证我现在接了 g.cn 的
@cnnblike 备案谁都可以做到吧
@orvice 也就是在 CDN 节点上放的文件？
@edsgerlin 签发 SSL 需要验证所有人
@Shura 开通 CDN 不验证域名所有权，我现在就开了 g.cn 的 CDN
@xfnic 大客户 /长得帅
@yeyeye 这个不清楚

just4test

2016-05-25 14:32:15 +08:00

@Andy1999 赶紧签发一个 google.com 的。

Citrus

2016-05-25 15:00:04 +08:00

"此方式需要您把当前域名 CNAME 至腾讯云 CDN 加速域名，腾讯云会对域名所有权进行验证，验证通过后，第三方证书会自动部署至 CDN 节点，提供加密数据传输服务。"
你已经 CNAME 过了，当然不用再做什么验证操作。签发时候验证所有人的操作并不一定要通过发邮件的方式。著名的 Let's Encrypt 就不用多说了吧＝。＝
@Andy1999

mornlight

2016-05-25 15:10:01 +08:00

你如果能签一个 www.qq.com 的证书，就可以搞个大新闻作为漏洞报上去了，还能混个小奖品啥的

Andy1999

2016-05-25 16:02:18 +08:00 via iPhone

@Citrus 签发的时候并没有落在腾讯云节点，他是怎么做到文件认证的？
那么这么说我只要进行区域 DNS 污染，把 g.cn 污染到节点上，也可以出证书咯？

moult

2016-05-25 16:02:46 +08:00

@Andy1999 虽然你能签发 g.cn 的，但是这个证书只能用在 CDN 上面，也就是说，你需要把 g.cn 解析到腾讯云的 CDN 的 IP 上面，你既然能解析 IP ，那么就证明你又域名控制权了，也就能通过 DV 验证了。
其实 AWS 的 S3 也有同样的服务，一样也只能在 AWS 上使用，所以不存在安全问题。

Andy1999

2016-05-25 16:04:33 +08:00 via iPhone

@moult 并没有，他的证书和 key 发到我邮箱里了
而且要解析不一定要有控制权， dns 污染就行

moult

2016-05-25 16:16:46 +08:00

@Andy1999 添加了 CDN 之后，你去签发证书的时候，选择这个没有解析到 CDN 的域名的时候，会提示“域名未解析到 cdn(22702)”错误。所以。你要 DNS 污染到腾讯服务器。

BOYPT

2016-05-25 16:22:28 +08:00

你要 DNS 污染到腾讯服务器。(手动点赞

lovedebug

2016-05-25 16:24:23 +08:00

DV 只能用来加密又不会在浏览器中提示用户是不是真实网站
只有 OV 和 EV 证书才真正有用和标志组织合法性

Andy1999

2016-05-25 16:38:05 +08:00 via iPhone

@moult
@BOYPT 是的，个人可能很难做到，那假设是运营商级别的呢？或者污染了 root server ？

popu111

2016-05-25 16:45:28 +08:00

@Andy1999 啥？不是说不发到邮箱的么？

moult

2016-05-25 18:41:56 +08:00

@Andy1999 如果你能污染 DNS 服务器的话，那么麻烦你污染一下 163 、 gmail 等 MX 记录。什么 SSL 证书，我也不想要了，因为我可以一夜暴富了。

moult

2016-05-25 18:50:24 +08:00

@popu111 趁现在能发到邮箱，_________，估计正式上线之后应该会去掉了，不然________，毕竟是 GeoTrust 的证书甩开 StartCom 和 Wosign 好几条街。
@Andy1999 不过，弱弱发现，我的 CDN 控制面板里面没有证书管理，我直接通过你截图的 URL 却可以使用这个服务。
https://ssl.moefq.com/images/2016/05/25/2e3ed2ba083d3773f483d32978932fe2.png

Showfom

2016-05-25 18:50:34 +08:00

接入 CDN 以后就可以 http 验证了

Andy1999

2016-05-25 20:25:29 +08:00 via iPhone

@popu111 发到邮箱
@moult 我是做不到，但是 ISP 可以啊或者 CNNIC ？
这个功能也就给大客户用用，应该都是没有的（腾讯 SSL 内测了快两年了吧）

@Showfom 但是并没有指向

lovedebug

2016-05-26 09:05:33 +08:00

@edsgerlin 不可能的 chrome 浏览器机制不一样所有 chrome 支持证书必需支持 google 的 SCT ， SCT 就是谷歌用来检查防止自己域名和世界知名网站域名被乱签发的。

tony601818

2016-07-12 13:20:56 +08:00

CloudFlare 开 https 的话也可以是这样的啊