V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Andy1999
V2EX  ›  分享发现

腾讯不验证域名签发赛门铁克 DV 证书是怎么做到的

  •  
  •   Andy1999 · 2016-05-25 10:52:06 +08:00 · 4574 次点击
    这是一个创建于 3085 天前的主题,其中的信息可能已经有所发展或是发生改变。

    53929f03342c67383d88a36cbb836659.png

    昨天看到免费赠送这个证书,我试着点了一下,然后没有任何验证就签发成功了,域名也没有指向腾讯云。这个是怎么做到的?

    558506053fe9c0dea15f6bfa850d1dfc.png

    这样是不是可以用它来做中间人攻击?

    29 条回复    2016-07-12 13:20:56 +08:00
    edsgerlin
        1
    edsgerlin  
       2016-05-25 10:54:58 +08:00 via Android   ❤️ 4
    既然如此,试着签发 google.com ?不知道会不会导致赛门铁克 root 被 Chrome revoke , 233
    ZeroClover
        2
    ZeroClover  
       2016-05-25 10:55:02 +08:00 via Android
    你能签发其他域名的么
    Syc
        3
    Syc  
       2016-05-25 10:55:13 +08:00 via Android
    应该是代理了相关业务,同时系统业务逻辑没做好,
    Andy1999
        4
    Andy1999  
    OP
       2016-05-25 11:00:19 +08:00 via iPhone
    @edsgerlin 得先是有备案的
    @ZeroClover 得接入 CDN
    yeyeye
        5
    yeyeye  
       2016-05-25 11:34:17 +08:00
    我认为腾讯认为它已经做了足够的验证证明你这个用户就是这个域名的所有者(管理者),所以直接发放给你是安全的,无需再次验证?
    yexm0
        6
    yexm0  
       2016-05-25 11:51:49 +08:00 via Android
    "得接入 CDN"应该是腾讯认为已经无需再验证了吧
    cnnblike
        7
    cnnblike  
       2016-05-25 12:13:54 +08:00 via iPhone
    你连线下的备案都能做到,腾讯觉得你肯定是这个域名的主人
    orvice
        8
    orvice  
       2016-05-25 12:35:43 +08:00
    "得接入 CDN"

    就可以在你域名下放文件啦, le 也是这样的。
    edsgerlin
        9
    edsgerlin  
       2016-05-25 12:43:43 +08:00
    @Andy1999 能备案的话,已经符合 Class 2 DV 的身份验证要求了吧,虽然不是 CA 自己验证的……
    Shura
        10
    Shura  
       2016-05-25 13:17:03 +08:00 via Android
    开通 cdn 时已经验证过域名了
    xfnic
        11
    xfnic  
       2016-05-25 13:33:12 +08:00 via iPhone
    怎么开通的 HTTPS
    Andy1999
        12
    Andy1999  
    OP
       2016-05-25 13:37:34 +08:00 via iPhone
    @yexm0 接入 CDN 无需任何验证 我现在接了 g.cn
    @cnnblike 备案谁都可以做到吧
    @orvice 也就是在 CDN 节点上放的文件?
    @edsgerlin 签发 SSL 需要验证所有人
    @Shura 开通 CDN 不验证域名所有权,我现在就开了 g.cn 的 CDN
    @xfnic 大客户 /长得帅
    @yeyeye 这个不清楚
    just4test
        13
    just4test  
       2016-05-25 14:32:15 +08:00
    @Andy1999 赶紧签发一个 google.com 的。
    Citrus
        14
    Citrus  
       2016-05-25 15:00:04 +08:00
    "此方式需要您把当前域名 CNAME 至腾讯云 CDN 加速域名,腾讯云会对域名所有权进行验证,验证通过后,第三方证书会自动部署至 CDN 节点,提供加密数据传输服务。"
    你已经 CNAME 过了,当然不用再做什么验证操作。签发时候验证所有人的操作并不一定要通过发邮件的方式。著名的 Let's Encrypt 就不用多说了吧=。=
    @Andy1999
    mornlight
        15
    mornlight  
       2016-05-25 15:10:01 +08:00
    你如果能签一个 www.qq.com 的证书,就可以搞个大新闻作为漏洞报上去了,还能混个小奖品啥的
    Andy1999
        16
    Andy1999  
    OP
       2016-05-25 16:02:18 +08:00 via iPhone
    @Citrus 签发的时候并没有落在腾讯云节点,他是怎么做到文件认证的?
    那么这么说我只要进行区域 DNS 污染,把 g.cn 污染到节点上,也可以出证书咯?
    moult
        17
    moult  
       2016-05-25 16:02:46 +08:00
    @Andy1999 虽然你能签发 g.cn 的,但是这个证书只能用在 CDN 上面,也就是说,你需要把 g.cn 解析到腾讯云的 CDN 的 IP 上面,你既然能解析 IP ,那么就证明你又域名控制权了,也就能通过 DV 验证了。
    其实 AWS 的 S3 也有同样的服务,一样也只能在 AWS 上使用,所以不存在安全问题。
    Andy1999
        18
    Andy1999  
    OP
       2016-05-25 16:04:33 +08:00 via iPhone
    @moult 并没有,他的证书和 key 发到我邮箱里了
    而且要解析不一定要有控制权, dns 污染就行
    moult
        19
    moult  
       2016-05-25 16:16:46 +08:00   ❤️ 2
    @Andy1999 添加了 CDN 之后,你去签发证书的时候,选择这个没有解析到 CDN 的域名的时候,会提示“域名未解析到 cdn(22702)”错误。所以。你要 DNS 污染到腾讯服务器。
    BOYPT
        20
    BOYPT  
       2016-05-25 16:22:28 +08:00   ❤️ 1
    你要 DNS 污染到腾讯服务器。(手动点赞
    lovedebug
        21
    lovedebug  
       2016-05-25 16:24:23 +08:00   ❤️ 2
    DV 只能用来加密 又不会在浏览器中提示用户是不是真实网站
    只有 OV 和 EV 证书才真正有用和标志组织合法性
    Andy1999
        22
    Andy1999  
    OP
       2016-05-25 16:38:05 +08:00 via iPhone   ❤️ 1
    @moult
    @BOYPT 是的,个人可能很难做到,那假设是运营商级别的呢?或者污染了 root server ?
    popu111
        23
    popu111  
       2016-05-25 16:45:28 +08:00   ❤️ 1
    @Andy1999 啥?不是说不发到邮箱的么?
    moult
        24
    moult  
       2016-05-25 18:41:56 +08:00
    @Andy1999 如果你能污染 DNS 服务器的话,那么麻烦你污染一下 163 、 gmail 等 MX 记录。什么 SSL 证书,我也不想要了,因为我可以一夜暴富了。
    moult
        25
    moult  
       2016-05-25 18:50:24 +08:00
    @popu111 趁现在能发到邮箱,_________,估计正式上线之后应该会去掉了,不然________,毕竟是 GeoTrust 的证书甩开 StartCom 和 Wosign 好几条街。
    @Andy1999 不过,弱弱发现,我的 CDN 控制面板里面没有证书管理,我直接通过你截图的 URL 却可以使用这个服务。
    https://ssl.moefq.com/images/2016/05/25/2e3ed2ba083d3773f483d32978932fe2.png
    Showfom
        26
    Showfom  
       2016-05-25 18:50:34 +08:00
    接入 CDN 以后就可以 http 验证了
    Andy1999
        27
    Andy1999  
    OP
       2016-05-25 20:25:29 +08:00 via iPhone
    @popu111 发到邮箱
    @moult 我是做不到,但是 ISP 可以啊 或者 CNNIC ?
    这个功能也就给大客户用用,应该都是没有的(腾讯 SSL 内测了快两年了吧)

    @Showfom 但是并没有指向
    lovedebug
        28
    lovedebug  
       2016-05-26 09:05:33 +08:00
    @edsgerlin 不可能的 chrome 浏览器机制不一样 所有 chrome 支持证书必需支持 google 的 SCT , SCT 就是谷歌用来检查防止自己域名和世界知名网站域名被乱签发的。
    tony601818
        29
    tony601818  
       2016-07-12 13:20:56 +08:00
    CloudFlare 开 https 的话也可以是这样的啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1198 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:21 · PVG 02:21 · LAX 10:21 · JFK 13:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.