V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ChanceLi
V2EX  ›  程序员

域名转让的时候,如何处理证书问题?

  •  
  •   ChanceLi · 259 天前 · 2336 次点击
    这是一个创建于 259 天前的主题,其中的信息可能已经有所发展或是发生改变。

    假如我从别人手中或者域名服务商那里买了一个域名,我用这个域名指向了新的服务器,并且申请了证书。但是这个域名之前的所有者,也持有这个域名的证书和私钥,那我的服务器是不是就有被中间人攻击的风险?虽然证书存在有效期,但也没法完全避免这种风险。还是说,我可能遗漏了什么,实际上并存在这种风险?

    19 条回复    2024-04-18 16:06:41 +08:00
    joyoyao
        1
    joyoyao  
       259 天前
    没啥风险,除非做了 dns 劫持。
    lichao
        2
    lichao  
       259 天前
    理论上存在这种风险,中间人攻击其中一种方式就是 DNS 劫持,再有合法证书加持简直完美
    Shiroka
        3
    Shiroka  
       259 天前 via iPhone   ❤️ 5
    确实存在,但现在劫持的难度也不低,并且劫持带来的价值未必能回本。

    如果担心,可以在 crt.sh 查询是否存在有效的证书,如果存在,可以写信给 ca 申请吊销。
    totoro625
        4
    totoro625  
       259 天前   ❤️ 2
    在这里检查指定域名的所有证书情况: https://crt.sh/?q=v2ex.com
    证书都过期的就没事了
    busier
        5
    busier  
       259 天前 via iPhone
    要完成中间人攻击,你还得劫持受害人的通信流量(例如 DNS 污染劫持,或者直接劫持物理网络的通信流量)。除了政府和相关部门,企业受管理的局域网,其他个人很难做到。
    bestsanmao
        6
    bestsanmao  
       259 天前   ❤️ 1
    @Shiroka
    @totoro625
    用了楼上两们提供的地址 查了一下我自己的域名
    我从来没有申请过 google 家的证书
    为啥能查到 google 家的 ssl 结果?
    feirisu
        7
    feirisu  
       259 天前   ❤️ 1
    @bestsanmao 我也看到域名里有谷歌的证书,也没申请过,域名也没在谷歌放也没用谷歌服务
    cccer
        8
    cccer  
       259 天前
    1. 通过 CT 可以查询到域名所有生效的证书
    2. 签发吊销证书
    cccer
        9
    cccer  
       259 天前   ❤️ 1
    @bestsanmao
    @feirisu
    如果有用 cloudflare 的话,它会自动用域名签发 google 证书。
    lichao
        10
    lichao  
       259 天前   ❤️ 1
    @bestsanmao
    @feirisu

    有没有托管在 cloud flare ? CF 可能会申请多个证书,做备用
    feirisu
        11
    feirisu  
       259 天前
    @cccer @lichao 确实是有放在 cf ,应该就是了
    bestsanmao
        12
    bestsanmao  
       259 天前
    @cccer
    @lichao
    谢谢
    是用的 cf 做 dns 解析
    pancrasxox
        13
    pancrasxox  
       258 天前
    确实存在中间人攻击的风险。如果他们有心的话,仍然可以在过期之前使用旧的证书和私钥来进行攻击。
    chf007
        14
    chf007  
       258 天前
    有可能,不过好像是可以吊销的,要去找上级证书服务商去提申请吧。如果是云厂商注册的,可以在控制台吊销试下
    Inzufu
        15
    Inzufu  
       258 天前 via Android
    有个笨办法,如果不着急用并且实在担心的话就等一年后再开始使用。
    因为目前 ssl 证书最长的有效期就是 1 年。
    lyhiving
        16
    lyhiving  
       258 天前
    你拥有域名和域名解析权的话,所有 SSL 证书都做不了什么事。
    就算是中间人劫持也有办法强制要求 CA 处理,时间问题。
    ChanceLi
        17
    ChanceLi  
    OP
       257 天前
    感谢各位的回复。有 V 友提到可以吊销证书,这个确实是尽快解除风险的直接有效手段。我顺便去查了下浏览器是如何检查已吊销证书的,总结下给大家参考:最开始是使用过证书吊销列表 CRL 去检测,因为列表文件太大,更新不及时,后来就通过 OCSP 协议去向 CA 机构发请求实时验证,但这种方法存在请求失败的情况,还引入了隐私和性能问题。后来又升级成用 OCSP Stapling 进行检测,但解决不了降级攻击,最后在证书里加了一个 extension ,演变成了 OCSP Must-Stapling 。有几篇文章写得挺好的,贴出来供大家参考:

    浏览器如何检查已吊销证书:
    https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/

    网页加载优化:ocsp-stapling
    https://www.ssl.com/article/page-load-optimization-ocsp-stapling/

    高可靠性 OCSP Stapling 及其重要性
    https://blog.cloudflare.com/high-reliability-ocsp-stapling

    OCSP Must-Staple: 有效的吊销手段
    https://venafi.com/blog/ocsp-must-staple/
    crc8
        18
    crc8  
       223 天前
    @cccer 多年前我应该是弄了 CF 这个服务,但当年的注册邮箱没了,请问如何能登录 CF 进去查看相应域名的服务呢?
    cccer
        19
    cccer  
       223 天前
    @crc8 只要把域名转出来了,CF 就没法去自动签证书
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4978 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 09:51 · PVG 17:51 · LAX 01:51 · JFK 04:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.