LetsEncrypt 允许您使用该事物来验证您的域的所有权.well-known,但由于该站点在第一个证书颁发之前是 http 的,所以不能有人进行 MITM 攻击以在不实际拥有该域的情况下给予 Letsencrypt 它想要的响应吗?我很确定 LE 的人知道他们在做什么,我只是想知道它是如何工作的。
编辑:
澄清一下,我说的是欺骗整个过程,而不仅仅是猜测合法所有者开始该过程后使用的随机数。我说的是攻击者正在运行certbot并完成整个事情。
LetsEncrypt 和其他类似服务如何通过不安全的 http 验证域的所有权?
信息安全
tls
http
让我们加密
2021-09-13 01:55:05
1个回答
在没有实际拥有域的情况下,有人不能进行 MITM 攻击来给letsencrypt它想要的响应吗?
是的,知道 Let's Encrypt 期望响应的人可以提供它。但是,响应是通过使用只有服务器所有者知道的私钥创建的,其中匹配的公钥由 Let's Encrypt 知道。因此,中间的某个人几乎不可能猜出正确的反应。
欲了解更多详情,请参阅如何使用从咱们加密,其中包括了如下描述:
除了挑战之外,Let's Encrypt CA 还提供了一个随机数,代理必须使用其私钥对签名以证明它控制密钥对。
当然,如果攻击者完全控制对域的访问,他可以使用 Let's Encrypt 创建一个新帐户并获取该域的证书。但在这种情况下,攻击者不仅从 Let's Encrypt 的角度来看,而且从其他第三方的角度来看,基本上拥有该域。
其它你可能感兴趣的问题