这是一个创建于 3681 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天体验了一下 Let's Encrypt 的签发过程,不需要任何信息,虽然填写了邮件地址,但并没有发邮件来认证,只需要在该域名的特定路径下放置特定内容的文件即可。
SSL 证书的一个用途就是,在攻击者控制了域名解析的情况下,防止攻击者冒充该网站。但如果像 Let's Encrypt 签发流程这样简单的话,攻击者如果控制了域名解析 / Web 服务器的话,就可以申请到同样的证书。
于是效果就是:
- 如果攻击者控制了域名解析,那么他可以申请到该域名的证书,修改解析冒充该网站。
- 如果攻击者控制了 Web 服务器,那么他可以申请一个有效期 90 天的证书,并在一个相对小的范围内劫持域名解析,冒充该网站。
而传统的 CA 是通过略微复杂的流程(需要付费且不容易自动化),用更多方法去认证申请者对域名的所有权,并登记申请者的个人信息来一定程度(但并不彻底)规避这两个问题的。
因为 Let's Encrypt 的证书已经被大家的设备信任了,所以无论你是否使用 Let's Encrypt, 你的网站和你的通讯安全都会受到威胁。
于是是不是大家都应该去申请 Let's Encrypt 的证书,然后按时续期,以防止攻击者冒领证书呢(申请证书后再次申请需要 60 天)。
 | 1 cnnblike 2015-11-11 00:05:57 +08:00 via iPhone 都能控制域名解析了,这起吗也得是国家级的攻击者了。他直接把 https301 到 http 不就行了?何必这么麻烦 |
 | 3 v2gba 2015-11-11 00:17:18 +08:00 2.只控制 web 服务器的话,而解析被及时改掉指向别处的话,是申请不到证书的吧。如果解析没改,那么啥都在你手上,直接改代码就是了。。。 1. 控制解析,不被原拥有者干扰的话,你本身就可以重新申请证书。 最后 60 天是默认自动 renew 的时间 可以强制提前 renew |
 | 4 Showfom PRO |
 | 5 chinvo 2015-11-11 00:32:28 +08:00 事实上,正如 @MrGba2z 所说,这两种攻击方式都不具备太大的威胁,另外, Let's Encrypt 证书本身设计用途就只是数据加密而非可信网站认证。 |
 | 6 ryd994 2015-11-11 00:32:39 +08:00 你似乎搞错了 tls 的用途, tls 只是保护传输过程安全而已。如果服务器被控制,那已经不是 tls 能保护的范围了。服务器都被攻陷了,那直接插恶意代码就好了嘛 ev 会验证申请者的身份,价钱也更贵。 |
 | 7 imlonghao 2015-11-11 00:34:19 +08:00 我用 GOGETSSL 的时候,也是支持在 http / https 下,在 WEB 目录放一个目录进行域名权限验证的。 |
| 8 imlonghao 2015-11-11 00:34:50 +08:00 *放一个文件进行* |
 | 9 lianz 2015-11-11 00:44:31 +08:00 DV 证书本来就是这样验证的,各大 SSL 厂商都这样,麻烦去了解一下再来大惊小怪。 GV 、 EV 证书就麻烦多了,而且死贵死贵的。 |
 | 10 feather12315 2015-11-11 10:01:39 +08:00 via Android 为啥我啥都没放就可以了。。。 就有一些 mx 记录 |
 | 11 babytomas 2016-01-04 19:13:11 +08:00 楼主原来还有在 v2 继续活跃, 您那个 rootpanel 放弃开发了吗? |
 | 12 jybox OP @babytomas 是的, https://jysperm.me/2015/12/summary-of-2015 这篇日志的最后一段有讲 |
Select Language