V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fiht
V2EX  ›  分享发现

签发 SSL 证书时使用邮箱验证域名所有权是否会存在安全隐患?

  •  
  •   fiht · 2017-12-28 13:57:20 +08:00 · 2367 次点击
    这是一个创建于 2557 天前的主题,其中的信息可能已经有所发展或是发生改变。

    缘起

    1. AlphaSSL 家可以申请通配符证书。
    2. 证书的申请方式为:属于域名之后通过域名邮箱验证是否拥有域名所有权。

    以下为本人博客的签发过程 提交 CSR 证书之后选择上面任意的邮箱即可完成域名所有权验证。

    我觉得可能存在的问题

    如果能申请到

    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    

    中的任意一个邮箱是不是就能获得 xxx.edu.cn 的证书呢?

    8 条回复    2017-12-28 23:04:15 +08:00
    SourceMan
        1
    SourceMan  
       2017-12-28 14:11:51 +08:00
    是的,已申请到一张野卡证书,感谢楼主提供新的免费野卡申请途径
    zn
        2
    zn  
       2017-12-28 14:50:51 +08:00 via iPhone   ❤️ 1
    确实有这个安全隐患,所以这几个邮箱应该是重点照顾的,要么做好规则禁止注册,要么自己注册了然后禁用掉。

    PS: 我记得以前网易邮箱就是被人注册了个 hostmaster。还好对方没做坏事,及时通知了网易官方。
    iwtbauh
        3
    iwtbauh  
       2017-12-28 14:59:11 +08:00 via Android
    对啊,以前 outlook 也发生过
    ColinZeb
        4
    ColinZeb  
       2017-12-28 15:05:32 +08:00
    谁要签发证书试试 google 翻译能不能签发?
    https://translate.google.com/translate?hl=zh-CN&sl=auto&tl=zh-CN&u=https%3A%2F%2Fassl.space%2F

    感觉 google 这个就像一层反代
    ryd994
        5
    ryd994  
       2017-12-28 15:52:25 +08:00 via Android
    不只是 example.com
    更是所有二级或更低域名
    datou
        6
    datou  
       2017-12-28 17:41:01 +08:00
    这个不算 DV 证书吧?
    fiht
        7
    fiht  
    OP
       2017-12-28 23:01:38 +08:00
    @ColinZeb 这个两码事吧,
    @datou 为什么不算 DV 证书?
    fiht
        8
    fiht  
    OP
       2017-12-28 23:04:15 +08:00
    @ColinZeb 刚才手抖直接回复了。很高级的反代了这个,不过和访问源站还是有区别的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1967 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:47 · PVG 08:47 · LAX 16:47 · JFK 19:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.