This topic created in 3850 days ago, the information mentioned may be changed or developed.
现在证书颁发机构通常使用域名 TXT 解析记录和 HTTP 文件校验的方式检查申请人是否是域名持有人,如果 DNS 干坏事骗到了证书咋办呢?
DNS 的准入条件可比默认受信任的证书颁发机构低多了呢
 |
1
hging Oct 22, 2015
你是怎么得到 DNS 的准入条件比证书办法机构低的这个结论的?
|
 |
2
msg7086 Oct 22, 2015
换一家 DNS 不就行了。
你自己去用来路不明厂家的 DNS 怪谁呢。 DNS 要使坏还用骗你的 HTTPS 证书? 直接解析去第三方做流量过滤就行了,要这么累做什么。 |
 |
5
Shieffan Oct 22, 2015
花高价上 EV SSL 就是了
这个信任链中的每一环都是这样,花多少钱买多少钱的安全 |
 |
6
ryd994 Oct 22, 2015 via Android
另外,只验证域名的是 DV 证书
有小绿条的 EV 证书是要另外验证身份的 |
 |
7
clino Oct 22, 2015
"DNS 干坏事骗到了证书"
这个要怎么做到? 就是别人可以让某个你的域名的 dns 记录指向某个特定的 ip? 或者至少 https 供应商的验证域名的服务使用的 dns 服务能指向某个特定的 ip 第一个域名肯定被盗了 第二个他怎么知道验证域名使用的是那个 dns 服务器?基本上也要黑到 https 供应商家里去才行吧? |
 |
8
qq529633582 OP |
 |
9
phoenixlzx Oct 22, 2015
DNS 要如何偷偷弄到你的证书... 私密的是 key 不是 crt...
|
|
10
qq529633582 OP |
|
11
qq529633582 OP @phoenixlzx 就是你用的 dnspod 之类的服务盗了你的域名用来申请证书但可以完全不打扰到你~
|
|
12
Shieffan Oct 22, 2015
@qq529633582 一般情况下浏览器不会检查,但如 Chrome 似乎会将合法但异常的 ssl 证书上报。
如果你担心 NS 托管商搞鬼,只有靠域名所有人自建 NS 服务器。 似乎没有针对域名托管商的具有法律约束力的协议条款。 其实大厂也是这么干的,自建 NS 服务器。 |
|
13
clino Oct 22, 2015
@qq529633582 dnspod 我没概念是什么 查了一下是智能 dns 解析 感觉跟 cdn 供应商具备的能力差不多
其实如果你用了 cdn cdn 供应商是不是也可能具备类似的能力,因为你的域名要交由他们来解析 |
 |
14
hjc4869 Oct 22, 2015
用信任的 DNS 提供商。
如果发行证书不是验证 whois 邮箱之类的,而只是验证 TXT 记录什么的,那就真的没办法防,只能靠最基本的信任了…… |
Select Language