V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Actrace
V2EX  ›  Cloudflare

关于 cf 签发的证书

  •  
  •   Actrace · 2020-07-25 18:33:39 +08:00 · 3422 次点击
    这是一个创建于 1617 天前的主题,其中的信息可能已经有所发展或是发生改变。
    cf 好像可以签发任意域名的证书,然后如果在 ISP 里劫持了某个域名的解析结果,再配合这个签发的证书,是不是就可以中间人了。
    8 条回复    2020-07-27 09:13:03 +08:00
    cydian
        1
    cydian  
       2020-07-25 18:36:04 +08:00 via Android
    你无法下载 cf 颁发的证书
    isp 劫持得在 cf 当地实现
    Actrace
        2
    Actrace  
    OP
       2020-07-25 18:47:34 +08:00
    @cydian 我的意思是说 cf 有这个签发任意域名证书的能力的话,假如中国移动也有。
    mxT52CRuqR6o5
        3
    mxT52CRuqR6o5  
       2020-07-25 18:50:31 +08:00 via Android
    @Actrace cf 能签发是因为你把域名托管给了 cf,并不是任意签发
    billlee
        4
    billlee  
       2020-07-25 18:56:10 +08:00
    @Actrace #2 这个思路没什么问题。以前 CNNIC 有签发任意证书的能力,后来大家不认它发的证书了
    mikeguan
        5
    mikeguan  
       2020-07-25 19:01:45 +08:00 via Android   ❤️ 2
    你自己也可以签发任意证书,只是大家不认;
    你自己也可以劫持任意解析,只是大家不认。
    mxT52CRuqR6o5
        6
    mxT52CRuqR6o5  
       2020-07-25 19:25:37 +08:00
    看了一下 cf 签发的证书好像是自己签发的
    首先你要明白,现在的证书安全机制其实就是个安全游戏,在大家都遵守规则的情况下才能保证安全
    如果证书颁发机构胡乱签发证书是有做到中间人攻击的可行性的,但代价也很大,就是被人发现后这个签发机构就废了(正如楼上提到的 CNNIC ),所以大家通常都会遵守规则
    https://www.zhihu.com/question/65649877,根据知乎上的某个回答,一个证书颁发机构价值可能上亿美元
    id7368
        7
    id7368  
       2020-07-26 00:02:33 +08:00 via iPhone
    CF 是 CA 机构才有任意签发的能力,CA 机构有严格的审计,你托管了才能签发,其他机构也是如此
    009694
        8
    009694  
       2020-07-27 09:13:03 +08:00
    关键是私钥。没有 cf 证书的私钥,也就没没办法挪作他用
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2468 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:21 · PVG 12:21 · LAX 20:21 · JFK 23:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.