这是一个创建于 3644 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在证书颁发机构通常使用域名 TXT 解析记录和 HTTP 文件校验的方式检查申请人是否是域名持有人,如果 DNS 干坏事骗到了证书咋办呢?
DNS 的准入条件可比默认受信任的证书颁发机构低多了呢
 | 1 hging 2015-10-22 13:48:18 +08:00 你是怎么得到 DNS 的准入条件比证书办法机构低的这个结论的? |
 | 2 msg7086 2015-10-22 14:09:53 +08:00 换一家 DNS 不就行了。 你自己去用来路不明厂家的 DNS 怪谁呢。 DNS 要使坏还用骗你的 HTTPS 证书? 直接解析去第三方做流量过滤就行了,要这么累做什么。 |
 | 5 Shieffan 2015-10-22 15:10:30 +08:00 花高价上 EV SSL 就是了 这个信任链中的每一环都是这样,花多少钱买多少钱的安全 |
 | 6 ryd994 2015-10-22 15:12:01 +08:00 via Android 另外,只验证域名的是 DV 证书 有小绿条的 EV 证书是要另外验证身份的 |
 | 7 "DNS 干坏事骗到了证书" 这个要怎么做到? 就是别人可以让某个你的域名的 dns 记录指向某个特定的 ip? 或者至少 https 供应商的验证域名的服务使用的 dns 服务能指向某个特定的 ip 第一个域名肯定被盗了 第二个他怎么知道验证域名使用的是那个 dns 服务器?基本上也要黑到 https 供应商家里去才行吧? |
 | 8 qq529633582 OP |
 | 9 phoenixlzx 2015-10-22 16:08:43 +08:00 DNS 要如何偷偷弄到你的证书... 私密的是 key 不是 crt... |
| 10 qq529633582 OP |
| 11 qq529633582 OP @phoenixlzx 就是你用的 dnspod 之类的服务盗了你的域名用来申请证书但可以完全不打扰到你~ |
| 12 Shieffan 2015-10-22 16:20:25 +08:00 @qq529633582 一般情况下浏览器不会检查,但如 Chrome 似乎会将合法但异常的 ssl 证书上报。 如果你担心 NS 托管商搞鬼,只有靠域名所有人自建 NS 服务器。 似乎没有针对域名托管商的具有法律约束力的协议条款。 其实大厂也是这么干的,自建 NS 服务器。 |
| 13 clino 2015-10-22 19:11:31 +08:00 @qq529633582 dnspod 我没概念是什么 查了一下是智能 dns 解析 感觉跟 cdn 供应商具备的能力差不多 其实如果你用了 cdn cdn 供应商是不是也可能具备类似的能力,因为你的域名要交由他们来解析 |
 | 14 hjc4869 2015-10-22 19:48:04 +08:00 用信任的 DNS 提供商。 如果发行证书不是验证 whois 邮箱之类的,而只是验证 TXT 记录什么的,那就真的没办法防,只能靠最基本的信任了…… |
Select Language