Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
fiht

签发 SSL 证书时使用邮箱验证域名所有权是否会存在安全隐患?

  •   
  •   fiht · Dec 28, 2017 · 2708 views
    This topic created in 3052 days ago, the information mentioned may be changed or developed.

    缘起

    1. AlphaSSL 家可以申请通配符证书。
    2. 证书的申请方式为:属于域名之后通过域名邮箱验证是否拥有域名所有权。

    以下为本人博客的签发过程 提交 CSR 证书之后选择上面任意的邮箱即可完成域名所有权验证。

    我觉得可能存在的问题

    如果能申请到

    [email protected]
[email protected]
[email protected]
[email protected]
[email protected]

    中的任意一个邮箱是不是就能获得 xxx.edu.cn 的证书呢?

  • 域名
  • 证书
  • 邮箱
  • 签发
    8 replies    2017-12-28 23:04:15 +08:00
    SourceMan
        1
    SourceMan  
       Dec 28, 2017
    是的,已申请到一张野卡证书,感谢楼主提供新的免费野卡申请途径
    zn
        2
    zn  
       Dec 28, 2017 via iPhone   ❤️ 1
    确实有这个安全隐患,所以这几个邮箱应该是重点照顾的,要么做好规则禁止注册,要么自己注册了然后禁用掉。

    PS: 我记得以前网易邮箱就是被人注册了个 hostmaster。还好对方没做坏事,及时通知了网易官方。
    iwtbauh
        3
    iwtbauh  
       Dec 28, 2017 via Android
    对啊,以前 outlook 也发生过
    ColinZeb
        4
    ColinZeb  
       Dec 28, 2017
    谁要签发证书试试 google 翻译能不能签发?
    https://translate.google.com/translate?hl=zh-CN&sl=auto&tl=zh-CN&u=https%3A%2F%2Fassl.space%2F

    感觉 google 这个就像一层反代
    ryd994
        5
    ryd994  
       Dec 28, 2017 via Android
    不只是 example.com
    更是所有二级或更低域名
    datou
        6
    datou  
       Dec 28, 2017
    这个不算 DV 证书吧?
    fiht
        7
    fiht  
    OP
       Dec 28, 2017
    @ColinZeb 这个两码事吧,
    @datou 为什么不算 DV 证书?
    fiht
        8
    fiht  
    OP
       Dec 28, 2017
    @ColinZeb 刚才手抖直接回复了。很高级的反代了这个,不过和访问源站还是有区别的。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1426 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 45ms · UTC 23:59 · PVG 07:59 · LAX 16:59 · JFK 19:59
    ♥ Do have faith in what you're doing.