验证在DNS记录指向不受控制的IP时未颁发恶意证书。
鉴于以下情况:
- 受害者从云提供商租用
VM1,并将他/她的DNS记录指向VM1的S IP地址。 - 受害者删除
VM1并切换到不同的云提供者,并在那里创建VM2,但忘记修改DNS记录(在删除旧VM之前,但在创建新VM之后)。 - 受害者的DNS记录现在指向一个不受控制的IP,攻击者可能会声称该IP
- 几天后,受害者意识到DNS记录没有被修改,并指向记录
VM2,从而解决了问题。 - 受害者在
VM2上为域颁发一个新证书,例如,让我们加密
在Step 3和Step 4之间的几天内,攻击者可能已经控制了指向DNS记录的IP。
攻击者可以发出一个新的证书,例如,让我们加密,使用该证书,攻击者可以获得一个私钥&该域的证书,有效期至少3个月。攻击者将来可以使用此已获得(且仍然有效)证书在受害者和VM2之间执行MITM攻击,因为即使受害者修改了DNS记录,证书也是有效的。
受害者是否有可能验证<#>no恶意证书是在Step 3和Step 4之间的几天内颁发的?
- 在证书透明度日志中搜索新条目是否足够?如果权威机构不公开记录新证书怎么办?
- 如果无法验证没有颁发证书,受害者是否应该完全停止使用该域(及其子域)?受害者应等待多长时间才能再次使用域名(以确保先前颁发的恶意证书过期)?
回答 1
Security用户
发布于 2021-05-21 17:07:43
TL;DR:是的,在任何公共CT日志查看器中检查该域,并且只找到您购买的证书,将使您非常有信心没有向该域颁发恶意证书。
是的,我完全同意你的观点,即攻击者可以在那个IP上获得一个VM,这足以通过自动域验证检查并获得证书。您将谈到攻击者从“让我们加密”获得证书,但除非受害者已经为其域设置了DNS CAA记录:
CAA记录允许域所有者声明允许哪个证书颁发机构为域颁发证书。
然后攻击者可以从任何CA获得证书,而一些CA提供的证书寿命最长可达一年。
解决方案:*超级英雄音乐剧*证书透明度,以拯救!
CT的缺点是,一些浏览器强制执行它,而其他浏览器则不强制执行,CA/Browser Forum没有要求CA/Browser论坛将CA登录到CT。
- 自2018年4月30日以来,Chrome (我认为也是Chrome)强烈要求在每个网站证书上记录CT,否则浏览器会抛出错误(来源)。
- Safari看起来已经开始需要它了,尽管这对我来说是个新闻,页面的日期是2021年3月(来源)。
- Firefox不需要或不检查CT日志(来源)。
尽管如此,我无法想象有任何主要的CT只在Firefox的根商店而不是Chrome或Safari的商店做生意,所以可以肯定的是,所有majar CT记录的每一个证书都符合谷歌的标准。
Summary:是的,在任何公共CT日志查看器中检查该域,只查找您购买的证书将使您非常有信心没有向该域颁发恶意证书。
https://security.stackexchange.com/questions/249561
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号