这是一个创建于 80 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://blog.cloudflare.com/unauthorized-issuance-of-certificates-for-1-1-1-1/
再次印证了世界是个巨大的草台班子,整个报告读下来过于难绷:
-
最早一张证书在 2024 年 2 月就被签发,半小时后被吊销。 (在将近一年半的时间里竟然一直没有人发现?
-
在随后的半年里,Fina CA 又陆陆续续签发了 11 张,在 2025.9.4 之前仍然有 2 张证书有效。 (同样的错竟然能犯 11 次?
-
从证书信息和 Fina CA 的回应来看,这些证书应该是用于测试的,他们可能觉得 1.1.1.1 是个不错的测试 IP
-
这个问题竟然是一位 HackerNews 老哥发现的
-
连续两份通过 HackerOne 向 Cloudflare 提交的报告都被误处理了
-
最后这件事情被直接捅到了 Google Certificate Transparency 的邮件列表上面,终于被 Cloudflare 注意到了。
-
Cloudflare 其实有自己的证书监控服务,但问题在于,他们忘记监控 IP 证书了(
-
据悉,Google 、Mozilla 、Apple 都并未信任该 CA ( Microsoft:
16 条回复 2025-09-06 13:56:55 +08:00
 | 1 Shatyuka 80 天前 太有 CA 了 |
 | 2 Yanlongli 80 天前 这不就相当于自签证书 |
8 | 4 KaynW 80 天前 你别说,我测试乱写 IP 的时候也经常写 1.1.1.1 |
 | 5 deepbytes 80 天前 via iPhone 笑死我了 |
 | 6 shakaraka PRO 太有生活了 |
 | 7 jhdxr 80 天前 Google 并未信任该 CA 是啥意思? Chrome 难道不是用的系统自带的 CA 吗?还是现在改了? |
| 8 jhdxr 80 天前 哦不对。。。忘记 google 还有安卓了。。。 |
 | 9 dsb2468 80 天前 “连续两份通过 HackerOne 向 Cloudflare 提交的报告都被误处理了” 世界是个巨大的草台班子 |
 | 10 JerryZhi 80 天前 如果没记错的话 cloudflare 选 1111 这个 ip 是为了证明自己能扛住各路人马的测试流量吧 |
 | 11 unneeded 80 天前 确实是草台班子 |
 | 13 LnTrx 80 天前 让人想起了 CNNIC |
Select Language