V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
southwolf
V2EX  ›  分享发现

域名贩子成功诱使 Comodo 为 sb 顶级域名签发证书

  •  
  •   southwolf · 2016-10-02 10:41:29 +08:00 · 6770 次点击
    这是一个创建于 2971 天前的主题,其中的信息可能已经有所发展或是发生改变。
    44 条回复    2016-10-03 16:09:51 +08:00
    chromee
        1
    chromee  
       2016-10-02 10:48:57 +08:00 via Android
    14 年就有这个问题了
    https://crt.sh/?id=4467456 dns 里有 re
    只能说 comodo 的判断有问题 把 www.xx 当做了 xx 的一个子域名
    breeswish
        2
    breeswish  
       2016-10-02 10:51:33 +08:00
    影响很小,只有 https://sb 才能用上那个 sb common name
    jasontse
        3
    jasontse  
       2016-10-02 10:57:10 +08:00 via iPad
    @breeswish 这也不一定,可能 .sb 下的裸域全部都可以用。
    breeswish
        4
    breeswish  
       2016-10-02 10:59:20 +08:00
    @jasontse 不会啊,这又不是 *.sb
    jasontse
        5
    jasontse  
       2016-10-02 10:59:58 +08:00 via iPad
    @showfom 你怎么不签一张野卡?这样新闻更大。
    以后你那还会有 Comodo 的证书卖么 😂
    dynos01
        6
    dynos01  
       2016-10-02 11:03:28 +08:00 via iPad
    没啥危害,因为 https://sb 压根不合法。。。
    通配符应该是要验证 sb ,应该签发不了
    sneezry
        7
    sneezry  
       2016-10-02 11:21:19 +08:00 via Android
    那张证书可以给内网用😄
    anti9take
        8
    anti9take  
       2016-10-02 12:02:25 +08:00 via Android
    惨遭 cnbeta 收录,果然没有标注来源……
    RobertYang
        9
    RobertYang  
       2016-10-02 12:29:43 +08:00 via Android
    没什么危害啊
    AirSc
        10
    AirSc  
       2016-10-02 12:39:08 +08:00 via Android
    到了 comodo 回复果然就是“没啥问题”云云
    anti9take
        11
    anti9take  
       2016-10-02 12:56:11 +08:00 via Android
    @AirSc 处理及时,过程公开,漏洞实际上无法利用,审查过程合乎 BRs ,没有同时爆出编号从 D 到 X 的一连串问题,更没有向揭发情况的人寄威胁信。
    Comodo 的应对已经很能说明一个可信 CA 究竟可信在哪里了。
    RqPS6rhmP3Nyn3Tm
        12
    RqPS6rhmP3Nyn3Tm  
       2016-10-02 13:21:39 +08:00 via iPhone   ❤️ 1
    建议吊销 Comodo 根证书(滑稽
    mornlight
        13
    mornlight  
       2016-10-02 13:33:24 +08:00
    人家明明是做正经生意的,域名贩子好难听...
    xiaoice
        14
    xiaoice  
       2016-10-02 13:43:51 +08:00
    @mornlight
    贩子也是正经生意。。。不要有职业歧视好吗?
    我觉得这个称呼很到位,拿到原始资源包装一下转手的可以称呼为贩子。
    Showfom
        15
    Showfom  
       2016-10-02 13:45:45 +08:00 via Android
    @xiaoice 我已经把写这个新闻的家伙骂了一顿 原文已经更改了 你才贩子呢 至于转载的各种网站的小编 都是智障
    Showfom
        16
    Showfom  
       2016-10-02 13:46:00 +08:00 via Android
    @chromee 这个域名和证书也是我的
    Showfom
        17
    Showfom  
       2016-10-02 13:47:47 +08:00 via Android
    @anti9take 原来你在这儿 以后再写新闻记得要有礼貌并且要属实 不要乱报道

    另 Comodo 从来没找过我 吊销证书也没给我个邮件
    Showfom
        18
    Showfom  
       2016-10-02 13:48:03 +08:00 via Android
    Showfom
        19
    Showfom  
       2016-10-02 13:48:46 +08:00 via Android
    @jasontse 他们不傻 野卡搞不定
    mornlight
        20
    mornlight  
       2016-10-02 13:54:49 +08:00
    @xiaoice 用 「域名贩子」会让读者认为只是转卖域名的,然而他的义务范围很广,用这样的称谓并不合适。另外, 「贩子」在大多数语境下都含有贬义,比如票贩子、人贩子。 「商贩」这个词才是中性的。我在意的是措辞问题。
    Showfom
        21
    Showfom  
       2016-10-02 13:57:26 +08:00 via Android
    @mornlight 我问了下圈子里的人 谁叫谁域名贩子都会觉得对方是傻逼
    skydiver
        22
    skydiver  
       2016-10-02 13:59:33 +08:00
    被称作域名贩子是怎样的体验?
    Tink
        23
    Tink  
       2016-10-02 14:01:41 +08:00 via iPhone
    好像没什么用啊
    DoraJDJ
        24
    DoraJDJ  
       2016-10-02 14:02:08 +08:00
    在 Solidot 看到这条新闻的时候,我差点把我对 Showfom 的内心形象给毁掉了。
    事实证明,词句的错误使用可能会造成不得了的结果。
    mornlight
        25
    mornlight  
       2016-10-02 14:05:06 +08:00
    @Showfom 看起来我应该叫 「代码贩子」,毕竟我也只是把系统接口和三方库包装一下拿去给别人用。
    Showfom
        26
    Showfom  
       2016-10-02 14:05:35 +08:00 via Android
    @DoraJDJ 捏捏
    @Tink 我只发现一个用途 比如局域网有个主机叫做 sb 那么就可以用我的证书了 其他没啥用途 公网没这个域名的解析的
    Showfom
        27
    Showfom  
       2016-10-02 14:06:02 +08:00 via Android
    @mornlight 来我 tg 群玩玩
    mornlight
        28
    mornlight  
       2016-10-02 14:06:33 +08:00
    @Livid 自动插入空格的处理逻辑可能有点问题,中文 引号前面是不需要空格的。
    LinEvil
        29
    LinEvil  
       2016-10-02 14:56:26 +08:00 via Android
    @Showfom 求峰总 tg 群链接
    laukwanchan
        30
    laukwanchan  
       2016-10-02 15:16:12 +08:00 via iPhone
    兽兽你是要搞大新闻啊
    Technetiumer
        31
    Technetiumer  
       2016-10-02 15:41:44 +08:00
    @breeswish 而 @Showfom 并不持有 sb./

    @dynos01 合法, 根域名可以解析,你看看

    to./

    dk./

    因此有个问题 https://www.v2ex.com/t/310270
    huihuimoe
        32
    huihuimoe  
       2016-10-02 16:55:03 +08:00 via Android
    @Technetiumer ai/ (つд⊂)エーン
    cocochan
        33
    cocochan  
       2016-10-02 19:45:01 +08:00 via iPhone
    @Showfom Showfom 大佬快告诉我 to./ 这种怎么弄的
    jasontse
        34
    jasontse  
       2016-10-02 19:54:23 +08:00 via iPad
    @cocochan 部分浏览器会在前面补齐 www 所以其实是 www.to
    Mac
        35
    Mac  
       2016-10-02 20:16:57 +08:00
    域名贩子。。。
    Showfom
        36
    Showfom  
       2016-10-03 01:20:21 +08:00 via iPhone
    @cocochan
    @jasontse 每个注册局的原始域名就是比如 to. 设置了 DNS 而已 我们所有的域名都是他们的二级域名 注册了 NS 记录 所以他们设置个 A 记录就可以直接用了
    ChaosPark
        37
    ChaosPark  
       2016-10-03 05:46:52 +08:00
    搞得像卖军火的似的。
    megatron
        38
    megatron  
       2016-10-03 07:52:13 +08:00
    comodo 知道这个问题,算不上什么“诱使”。
    这个新闻很有意思,国内有的使用“域名投资者”,使用“域名贩子”作为标题。
    jasontse
        39
    jasontse  
       2016-10-03 08:39:08 +08:00 via Android
    @Showfom 可是很明显这两个不是这么做的
    Delbert
        40
    Delbert  
       2016-10-03 08:40:38 +08:00 via Android
    @skydiver 赶紧去知乎提问
    Showfom
        41
    Showfom  
       2016-10-03 13:21:18 +08:00 via iPhone
    @jasontse 你去慢慢看域名的基本知识吧
    jasontse
        42
    jasontse  
       2016-10-03 14:05:11 +08:00 via iPad
    @Showfom
    root@jason:~# dig to +short
    root@jason:~# dig www.to +short
    192.254.189.127
    root@jason:~# dig dk +short
    root@jason:~# dig www.dk +short
    194.88.217.54

    我当然是查过 DNS 才这么回答他的
    Showfom
        43
    Showfom  
       2016-10-03 15:47:52 +08:00 via iPhone
    @jasontse 你忘记加个点了

    dig to.

    试试
    jasontse
        44
    jasontse  
       2016-10-03 16:09:51 +08:00 via iPad
    @Showfom 点本来就是隐含在内的
    root@jason:~# dig to.|grep ANSWER
    ;; flags: qr rd ra; QUERY: 1, ANSWER: **0**, AUTHORITY: 0, ADDITIONAL: 0
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2853 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 15:20 · PVG 23:20 · LAX 07:20 · JFK 10:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.