这是一个创建于 810 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 keyfunc 2023-09-12 09:14:38 +08:00 所以到底是自签还是 GoDaddy 的 CA 签的?如果发现 CA 滥发证书的话,可以去 Mozilla 社区举报: https://wiki.mozilla.org/CA/Incident_Dashboard |
 | 2 xomix 2023-09-12 09:17:30 +08:00 我想到一种可能,他就是把这个域名签到特定的局域网 ip 里了(甚至更过分,使用广域网 ip 来做局域网 ip 了) |
 | 3 zhengfan2016 OP @keyfunc 应该是 Go Daddy 签的, 难道狗爹给域名发证书可以不用验证域名所有权吗 |
 | 4 leonshaw 2023-09-12 09:18:16 +08:00 via Android 发出来看看 |
| 5 keyfunc 2023-09-12 09:21:45 +08:00 @zhengfan2016 大可能性是用了 oa 的什么 saas 服务,服务上有 oa.com 的控制权 |
| 6 leonshaw 2023-09-12 09:22:26 +08:00 via Android 如果是真的 ct log 应该能查到 |
 | 7 pridealloverme 2023-09-12 09:32:46 +08:00 把证书发出来看下就知道是不是自签了。有可能是他们自签的 CA 和 goDaddy 的差不多名称 |
 | 8 tpsxiong 2023-09-12 09:43:10 +08:00 via Android 有没可能 it 出厂的电脑直接植入了根证书? |
 | 9 tool2d 2023-09-12 10:10:04 +08:00 是公司办公内网,又不是任意网页证书,有个域名所有权也是很正常的。 |
 | 11 libook 2023-09-12 10:20:03 +08:00 证书跟域名绑定,域名根据 DNS 解析到 IP ,所以证书跟是不是内网没有关系。 比如我现在就有个域名,用 let‘s encrypt 发了证书,然后无论我 DNS 上将这个域名解析到哪个 IP 都可以,不管是公网还是内网 IP 。浏览器会根据域名找 DNS 确认是哪个 IP ,但是在验证证书阶段就完全不管 IP 的事情了,只关心服务器返回的加密数据是否可以使用本地对应域名的密钥解密。 只要是公共 CA 签发的证书,浏览器和操作系统通常都内置了公钥,不需要额外安装。 公共 CA 给域名签发证书,如果域名在公网就可以直连验证所有权,如果域名在内网就没法直连验证所有权,但是有其他方式可以验证所有权,比如域名持有者可以在 DNS 上添加特殊记录来证明自己拥有这个域名。 |
 | 12 renfei 2023-09-12 10:26:26 +08:00 CN = Go Daddy Secure Certificate Authority - G2 OU = http://certs.godaddy.com/repository/ O = GoDaddy.com, Inc. L = Scottsdale ST = Arizona C = US 在 9/8/22, 10:28:44PM GMT+8 确实签发了 oa.com 的证书,如果证书跟这个一致的话,估计真的拿到了这个证书的 key https://cdn.renfei.net/tmp/_.oa.com.cer |
 | 13 someday3 2023-09-12 10:27:50 +08:00 楼主至少给一个哈希值啊,这样就知道是不是自签的。 你说到谁签发这个事情,是名字些的是 godaddy 还是就有 godaddy 的证书链?这两种情况完全不一样。 补充一个哈希值出来,我们验一下就知道了。 |
 | 14 gamexg 2023-09-12 11:06:31 +08:00 |
 | 15 VYSE 2023-09-12 11:09:46 +08:00 哪家公司? 能拥有这个域名 |
 | 16 InDom 2023-09-12 11:12:21 +08:00  |
 | 17 julyclyde 2023-09-12 12:46:51 +08:00 腾讯的么? 腾讯工作机器自带了腾讯自己的根正处 |
 | 19 dif 2023-09-12 14:33:40 +08:00 |
 | 21 Projection 2023-09-13 10:39:17 +08:00 |
Select Language