假如我从别人手中或者域名服务商那里买了一个域名,我用这个域名指向了新的服务器,并且申请了证书。但是这个域名之前的所有者,也持有这个域名的证书和私钥,那我的服务器是不是就有被中间人攻击的风险?虽然证书存在有效期,但也没法完全避免这种风险。还是说,我可能遗漏了什么,实际上并存在这种风险?
1
joyoyao 239 天前
没啥风险,除非做了 dns 劫持。
|
2
lichao 239 天前
理论上存在这种风险,中间人攻击其中一种方式就是 DNS 劫持,再有合法证书加持简直完美
|
3
Shiroka 239 天前 via iPhone 5
|
4
totoro625 239 天前 2
在这里检查指定域名的所有证书情况: https://crt.sh/?q=v2ex.com
证书都过期的就没事了 |
5
busier 239 天前 via iPhone
要完成中间人攻击,你还得劫持受害人的通信流量(例如 DNS 污染劫持,或者直接劫持物理网络的通信流量)。除了政府和相关部门,企业受管理的局域网,其他个人很难做到。
|
6
bestsanmao 239 天前 1
|
7
feirisu 239 天前 1
@bestsanmao 我也看到域名里有谷歌的证书,也没申请过,域名也没在谷歌放也没用谷歌服务
|
8
cccer 239 天前
1. 通过 CT 可以查询到域名所有生效的证书
2. 签发吊销证书 |
9
cccer 239 天前 1
|
10
lichao 239 天前 1
|
12
bestsanmao 239 天前
|
13
pancrasxox 239 天前
确实存在中间人攻击的风险。如果他们有心的话,仍然可以在过期之前使用旧的证书和私钥来进行攻击。
|
14
chf007 239 天前
有可能,不过好像是可以吊销的,要去找上级证书服务商去提申请吧。如果是云厂商注册的,可以在控制台吊销试下
|
15
Inzufu 239 天前 via Android
有个笨办法,如果不着急用并且实在担心的话就等一年后再开始使用。
因为目前 ssl 证书最长的有效期就是 1 年。 |
16
lyhiving 239 天前
你拥有域名和域名解析权的话,所有 SSL 证书都做不了什么事。
就算是中间人劫持也有办法强制要求 CA 处理,时间问题。 |
17
ChanceLi OP 感谢各位的回复。有 V 友提到可以吊销证书,这个确实是尽快解除风险的直接有效手段。我顺便去查了下浏览器是如何检查已吊销证书的,总结下给大家参考:最开始是使用过证书吊销列表 CRL 去检测,因为列表文件太大,更新不及时,后来就通过 OCSP 协议去向 CA 机构发请求实时验证,但这种方法存在请求失败的情况,还引入了隐私和性能问题。后来又升级成用 OCSP Stapling 进行检测,但解决不了降级攻击,最后在证书里加了一个 extension ,演变成了 OCSP Must-Stapling 。有几篇文章写得挺好的,贴出来供大家参考:
浏览器如何检查已吊销证书: https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ 网页加载优化:ocsp-stapling https://www.ssl.com/article/page-load-optimization-ocsp-stapling/ 高可靠性 OCSP Stapling 及其重要性 https://blog.cloudflare.com/high-reliability-ocsp-stapling OCSP Must-Staple: 有效的吊销手段 https://venafi.com/blog/ocsp-must-staple/ |