这是一个创建于 421 天前的主题,其中的信息可能已经有所发展或是发生改变。
假如我从别人手中或者域名服务商那里买了一个域名,我用这个域名指向了新的服务器,并且申请了证书。但是这个域名之前的所有者,也持有这个域名的证书和私钥,那我的服务器是不是就有被中间人攻击的风险?虽然证书存在有效期,但也没法完全避免这种风险。还是说,我可能遗漏了什么,实际上并存在这种风险?
 |
1
joyoyao 2024-03-13 16:41:29 +08:00
没啥风险,除非做了 dns 劫持。
|
 |
2
lichao 2024-03-13 16:47:05 +08:00
理论上存在这种风险,中间人攻击其中一种方式就是 DNS 劫持,再有合法证书加持简直完美
|
 |
3
Shiroka 2024-03-13 16:51:59 +08:00 via iPhone  5
|
 |
4
totoro625 2024-03-13 16:52:57 +08:00 2
在这里检查指定域名的所有证书情况: https://crt.sh/?q=v2ex.com
证书都过期的就没事了 |
 |
5
busier 2024-03-13 16:58:11 +08:00 via iPhone
要完成中间人攻击,你还得劫持受害人的通信流量(例如 DNS 污染劫持,或者直接劫持物理网络的通信流量)。除了政府和相关部门,企业受管理的局域网,其他个人很难做到。
|
 |
6
bestsanmao 2024-03-13 17:01:28 +08:00 1
|
 |
7
feirisu 2024-03-13 17:06:52 +08:00 1
@bestsanmao 我也看到域名里有谷歌的证书,也没申请过,域名也没在谷歌放也没用谷歌服务
|
 |
8
cccer 2024-03-13 17:08:24 +08:00
1. 通过 CT 可以查询到域名所有生效的证书
2. 签发吊销证书 |
|
9
cccer 2024-03-13 17:09:19 +08:00 1
|
|
10
lichao 2024-03-13 17:12:19 +08:00 1
|
|
12
bestsanmao 2024-03-13 17:37:47 +08:00
|
 |
13
pancrasxox 2024-03-13 18:41:39 +08:00
确实存在中间人攻击的风险。如果他们有心的话,仍然可以在过期之前使用旧的证书和私钥来进行攻击。
|
 |
14
chf007 2024-03-13 21:28:58 +08:00
有可能,不过好像是可以吊销的,要去找上级证书服务商去提申请吧。如果是云厂商注册的,可以在控制台吊销试下
|
 |
15
Inzufu 2024-03-13 22:18:08 +08:00 via Android
有个笨办法,如果不着急用并且实在担心的话就等一年后再开始使用。
因为目前 ssl 证书最长的有效期就是 1 年。 |
 |
16
lyhiving 2024-03-13 23:40:04 +08:00
你拥有域名和域名解析权的话,所有 SSL 证书都做不了什么事。
就算是中间人劫持也有办法强制要求 CA 处理,时间问题。 |
 |
17
ChanceLi OP 感谢各位的回复。有 V 友提到可以吊销证书,这个确实是尽快解除风险的直接有效手段。我顺便去查了下浏览器是如何检查已吊销证书的,总结下给大家参考:最开始是使用过证书吊销列表 CRL 去检测,因为列表文件太大,更新不及时,后来就通过 OCSP 协议去向 CA 机构发请求实时验证,但这种方法存在请求失败的情况,还引入了隐私和性能问题。后来又升级成用 OCSP Stapling 进行检测,但解决不了降级攻击,最后在证书里加了一个 extension ,演变成了 OCSP Must-Stapling 。有几篇文章写得挺好的,贴出来供大家参考:
浏览器如何检查已吊销证书: https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ 网页加载优化:ocsp-stapling https://www.ssl.com/article/page-load-optimization-ocsp-stapling/ 高可靠性 OCSP Stapling 及其重要性 https://blog.cloudflare.com/high-reliability-ocsp-stapling OCSP Must-Staple: 有效的吊销手段 https://venafi.com/blog/ocsp-must-staple/ |
 |
20
Edenallen 2 天前
Yes, your server can be at risk if the previous domain owner still has access to a valid certificate and its private key. Even if you've issued a new certificate, an attacker could exploit the old one until it expires—especially if clients don’t properly check for revocation. While certificate revocation (via CRL or OCSP) helps, not all browsers enforce it consistently. Enabling OCSP Must-Stapling adds another layer of protection by requiring the server to present a valid revocation check during TLS handshake.
For more on resolving certificate revocation issues, including the NET::ERR_CERT_REVOKED error, you can refer to this detailed article: https://certera.com/kb/how-to-resolve-the-neterr_cert_revoked-error/ For OCSP Stapling process, understand in detail at:- https://cheapsslweb.com/blog/what-is-ocsp-and-ocsp-stapling/ |
Select Language