针对过期域的 SSL 证书 MITM 攻击

信息安全 tls 中间人
2021-09-06 13:20:59

假设我有一个域名,例如mysupercoolproduct.com. 我为它购买了一个 2 年的 SSL 证书,然后我疏忽了,域名被其他人抢走了。我仍然拥有该域的有效 SSL 证书,但我不再拥有该域。(如果我将域名出售给某人,也会发生这种情况)

有哪些机制可以使有效的签名但非法拥有的 SSL 证书失效?由于我假装的 SSL 证书是由合法 CA 签署的,因此浏览器没有理由不信任它。这将使我能够完成本世纪的 MITM 攻击,直到它到期。

如果域过期或被出售给另一家公司,是否有任何方法可以使域的所有 SSL 证书全局失效?

1个回答

PKI 基础设施通过撤销列表提供了执行此操作的方法。如果您从其他人那里购买了一个域名,或者抢夺了一个已经失效的域名,那么部分责任在于购买方。他们应该尽职尽责并联系 CA 颁发机构,以使现有的任何其他证书无效。我确信 CA 在随机使域的证书无效之前需要某种证明,但我以前从未这样做过。在 OCSP 和标准撤销列表之间,如果您的网络/系统管理员工作正常,这应该不是一个难以克服的问题。

其它你可能感兴趣的问题
上一篇混杂模式是否足以嗅探 wifi 网络中的数据包? 下一篇可以防止画布指纹识别吗?