假设我提交了一份 CSR,其中的域名不是我的 www.google.com 并且 CA 批准了它。
我一直想知道 CA 如何验证我是所有者并批准。显然这肯定会被拒绝,但这并不能阻止我冒充其他不太知名的域名,对吧?
如果 CA 批准了冒充者,安全隐患是什么?
最佳答案
所有商业 CA 都有所谓的注册机构,它执行请求者的身份检查并使用各种机制来确定您是否有资格为指定域请求证书。其中一项检查可能包括域的 DNS 区域中的特殊 DNS 条目。根据提供者的不同,可能会进行其他检查。因此,即使是鲜为人知的域名,您也必须证明您拥有该域名或由所有者委托(delegate)给该域名。强制 CA 错误颁发证书并不容易。它用于域验证的证书。有关维基百科的更多详细信息:https://en.wikipedia.org/wiki/Certificate_authority#Validation_standards
对组织验证的证书进行额外检查,您必须在其中提供证明您的权限的文件副本。甚至对 EV 证书进行了更广泛的检查。
含义很简单:如果您可以使用错误颁发的证书将用户流量重定向到您的 Web 服务器,则可以进行 MITM 攻击。然而,这会对 CA 声誉产生巨大的负面影响,因此 CA 倾向于适本地执行检查以挽救他们的声誉和潜在客户。
关于ssl - 证书颁发机构签署 CSR 时的安全隐患,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47023039/