昨天看到免费赠送这个证书,我试着点了一下,然后没有任何验证就签发成功了,域名也没有指向腾讯云。这个是怎么做到的?
这样是不是可以用它来做中间人攻击?
1
edsgerlin 2016-05-25 10:54:58 +08:00 via Android 4
既然如此,试着签发 google.com ?不知道会不会导致赛门铁克 root 被 Chrome revoke , 233
|
2
ZeroClover 2016-05-25 10:55:02 +08:00 via Android
你能签发其他域名的么
|
3
Syc 2016-05-25 10:55:13 +08:00 via Android
应该是代理了相关业务,同时系统业务逻辑没做好,
|
4
Andy1999 OP |
5
yeyeye 2016-05-25 11:34:17 +08:00
我认为腾讯认为它已经做了足够的验证证明你这个用户就是这个域名的所有者(管理者),所以直接发放给你是安全的,无需再次验证?
|
6
yexm0 2016-05-25 11:51:49 +08:00 via Android
"得接入 CDN"应该是腾讯认为已经无需再验证了吧
|
7
cnnblike 2016-05-25 12:13:54 +08:00 via iPhone
你连线下的备案都能做到,腾讯觉得你肯定是这个域名的主人
|
8
orvice 2016-05-25 12:35:43 +08:00
"得接入 CDN"
就可以在你域名下放文件啦, le 也是这样的。 |
10
Shura 2016-05-25 13:17:03 +08:00 via Android
开通 cdn 时已经验证过域名了
|
11
xfnic 2016-05-25 13:33:12 +08:00 via iPhone
怎么开通的 HTTPS
|
12
Andy1999 OP |
13
just4test 2016-05-25 14:32:15 +08:00
@Andy1999 赶紧签发一个 google.com 的。
|
14
Citrus 2016-05-25 15:00:04 +08:00
"此方式需要您把当前域名 CNAME 至腾讯云 CDN 加速域名,腾讯云会对域名所有权进行验证,验证通过后,第三方证书会自动部署至 CDN 节点,提供加密数据传输服务。"
你已经 CNAME 过了,当然不用再做什么验证操作。签发时候验证所有人的操作并不一定要通过发邮件的方式。著名的 Let's Encrypt 就不用多说了吧=。= @Andy1999 |
15
mornlight 2016-05-25 15:10:01 +08:00
你如果能签一个 www.qq.com 的证书,就可以搞个大新闻作为漏洞报上去了,还能混个小奖品啥的
|
16
Andy1999 OP |
17
moult 2016-05-25 16:02:46 +08:00
|
18
Andy1999 OP @moult 并没有,他的证书和 key 发到我邮箱里了
而且要解析不一定要有控制权, dns 污染就行 |
19
moult 2016-05-25 16:16:46 +08:00 2
@Andy1999 添加了 CDN 之后,你去签发证书的时候,选择这个没有解析到 CDN 的域名的时候,会提示“域名未解析到 cdn(22702)”错误。所以。你要 DNS 污染到腾讯服务器。
|
20
BOYPT 2016-05-25 16:22:28 +08:00 1
你要 DNS 污染到腾讯服务器。(手动点赞
|
21
lovedebug 2016-05-25 16:24:23 +08:00 2
DV 只能用来加密 又不会在浏览器中提示用户是不是真实网站
只有 OV 和 EV 证书才真正有用和标志组织合法性 |
22
Andy1999 OP |
24
moult 2016-05-25 18:41:56 +08:00
@Andy1999 如果你能污染 DNS 服务器的话,那么麻烦你污染一下 163 、 gmail 等 MX 记录。什么 SSL 证书,我也不想要了,因为我可以一夜暴富了。
|
25
moult 2016-05-25 18:50:24 +08:00
@popu111 趁现在能发到邮箱,_________,估计正式上线之后应该会去掉了,不然________,毕竟是 GeoTrust 的证书甩开 StartCom 和 Wosign 好几条街。
@Andy1999 不过,弱弱发现,我的 CDN 控制面板里面没有证书管理,我直接通过你截图的 URL 却可以使用这个服务。 https://ssl.moefq.com/images/2016/05/25/2e3ed2ba083d3773f483d32978932fe2.png |
26
Showfom 2016-05-25 18:50:34 +08:00
接入 CDN 以后就可以 http 验证了
|
27
Andy1999 OP |
28
lovedebug 2016-05-26 09:05:33 +08:00
@edsgerlin 不可能的 chrome 浏览器机制不一样 所有 chrome 支持证书必需支持 google 的 SCT , SCT 就是谷歌用来检查防止自己域名和世界知名网站域名被乱签发的。
|
29
tony601818 2016-07-12 13:20:56 +08:00
CloudFlare 开 https 的话也可以是这样的啊
|