这是一个创建于 3103 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天体验了一下 Let's Encrypt 的签发过程,不需要任何信息,虽然填写了邮件地址,但并没有发邮件来认证,只需要在该域名的特定路径下放置特定内容的文件即可。
SSL 证书的一个用途就是,在攻击者控制了域名解析的情况下,防止攻击者冒充该网站。但如果像 Let's Encrypt 签发流程这样简单的话,攻击者如果控制了域名解析 / Web 服务器的话,就可以申请到同样的证书。
于是效果就是:
- 如果攻击者控制了域名解析,那么他可以申请到该域名的证书,修改解析冒充该网站。
- 如果攻击者控制了 Web 服务器,那么他可以申请一个有效期 90 天的证书,并在一个相对小的范围内劫持域名解析,冒充该网站。
而传统的 CA 是通过略微复杂的流程(需要付费且不容易自动化),用更多方法去认证申请者对域名的所有权,并登记申请者的个人信息来一定程度(但并不彻底)规避这两个问题的。
因为 Let's Encrypt 的证书已经被大家的设备信任了,所以无论你是否使用 Let's Encrypt, 你的网站和你的通讯安全都会受到威胁。
于是是不是大家都应该去申请 Let's Encrypt 的证书,然后按时续期,以防止攻击者冒领证书呢(申请证书后再次申请需要 60 天)。
 |
1
cnnblike 2015-11-11 00:05:57 +08:00 via iPhone
都能控制域名解析了,这起吗也得是国家级的攻击者了。他直接把 https301 到 http 不就行了?何必这么麻烦
|
 |
2
sparanoid MOD |
 |
3
MrGba2z 2015-11-11 00:17:18 +08:00
2.只控制 web 服务器的话,而解析被及时改掉指向别处的话,是申请不到证书的吧。如果解析没改,那么啥都在你手上,直接改代码就是了。。。
1. 控制解析,不被原拥有者干扰的话,你本身就可以重新申请证书。 最后 60 天是默认自动 renew 的时间 可以强制提前 renew |
 |
4
Showfom 2015-11-11 00:19:31 +08:00
|
 |
5
chinvo 2015-11-11 00:32:28 +08:00
事实上,正如 @MrGba2z 所说,这两种攻击方式都不具备太大的威胁,另外, Let's Encrypt 证书本身设计用途就只是数据加密而非可信网站认证。
|
 |
6
ryd994 2015-11-11 00:32:39 +08:00
你似乎搞错了 tls 的用途, tls 只是保护传输过程安全而已。如果服务器被控制,那已经不是 tls 能保护的范围了。服务器都被攻陷了,那直接插恶意代码就好了嘛
ev 会验证申请者的身份,价钱也更贵。 |
 |
7
imlonghao 2015-11-11 00:34:19 +08:00
我用 GOGETSSL 的时候,也是支持在 http / https 下,在 WEB 目录放一个目录进行域名权限验证的。
|
|
8
imlonghao 2015-11-11 00:34:50 +08:00
*放一个文件进行*
|
 |
9
lianz 2015-11-11 00:44:31 +08:00
DV 证书本来就是这样验证的,各大 SSL 厂商都这样,麻烦去了解一下再来大惊小怪。
GV 、 EV 证书就麻烦多了,而且死贵死贵的。 |
 |
10
feather12315 2015-11-11 10:01:39 +08:00 via Android
为啥我啥都没放就可以了。。。
就有一些 mx 记录 |
 |
11
babytomas 2016-01-04 19:13:11 +08:00
楼主原来还有在 v2 继续活跃,
您那个 rootpanel 放弃开发了吗? |
 |
12
jybox OP @babytomas 是的, https://jysperm.me/2015/12/summary-of-2015 这篇日志的最后一段有讲
|
Select Language