在过去的几天里,我看到很多对我拥有的域名的POST请求命中了以下路径:
/ct/v1/sct-gossip
/ct/v1/sct-feedback
/.well-known/ct/v1/sct-feedback
/.well-known/ct/v1/sth-pollination
/.well-known/ct/v1/collected-sct-feedback
/.well-known/ct/v1/sct-gossip
/topleveldir/subdir/research-feedback
这是否有人试图做一些可疑的事情?
我发现以下文件表明这可能与证书审核员有关,尽管我不确定是什么!我的所有网站都是由Cloudflare提供的,它提供SSL证书,所以我真的希望Cloudflare能够处理任何此类请求。
https://tools.ietf.org/html/draft-ietf-trans-gossip-00
任何想法都会受到赞赏: - )
答案 0 :(得分:4)
经过调查,请求来自https://net.in.tum.de/projects/gino/index.html#internet-wide-scans
他们正在进行互联网测量以查找证书透明度八卦端点。
您可以发送电子邮件至scans@net.in.tum.de
,要求他们将您的域名/ IP列入黑名单此致
答案 1 :(得分:1)
这是证书链的knowon安全协议。
答案 2 :(得分:1)
https://ct.grahamedgecombe.com/
有: 签名树头八卦
提供了两个API端点来交换STH八卦:
/ct/v1/sth-gossip, which implements draft-linus-trans-gossip-ct-01.
/.well-known/ct/v1/sth-pollination, which implements draft-ietf-trans-gossip-00.
两者都返回了在过去一小时内观察到的所有STH,因此每30分钟查询一次以上几乎没有什么意义。如果您使用其中一个端点,我很高兴能够从您的显示器获取八卦作为回报。特别是,/ ct / v1 / sth-gossip端点不支持在两个方向上交换八卦。如果你想组织这个,请与我联系。 签署证书时间戳八卦
提供实验性API端点用于提交SCT八卦:
/ct/v1/sct-feedback, which implements draft-ietf-trans-gossip-00.
在日志的最大合并延迟结束后,监视器会检查日志中是否包含相应的条目。虽然此检查的结果存储在数据库中,但它们当前未显示在Web界面中。
答案 3 :(得分:0)
TLDR; - 非常可能是恶意流量或检查ips是否在@ QuentinL.D
发布的范围内 .well-known
网址可能会尝试利用https://www.letsencrypt.org中的某些可能。或者更可能是配置错误的Web服务器。我说可能b / c我没有听说过letsencrypt的任何问题,如果你没有使用letsencrypt
那么我会考虑这种恶意流量。来自letsencrypt
/ certbot
[1]的正常请求看起来类似于:
127.0.0.1 - - [03/Oct/2017:22:21:02 +0000] "GET /.well-known/acme-challenge/2VJSAGWTQ3l14rkSa7MTbVYKiwPEXvrx2T1BdQpOVhc HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)" "-"
请注意,我的状态127.0.0.1 b / c i将这些请求与haproxy本地路由到不同的端口/后端,而不是路由到集群中的Web服务器。
1 - https://github.com/certbot/certbot
我也在我的网络服务器日志中看到这些,这些日志永远不会托管letsencrypt .well-known
文件夹,这就是为什么我(简要地)解释了我上面的设置
我意识到这不是你问题的确切答案,但希望这会有所帮助。
编辑:点击这些网址的IP在@ QuentinL.D发布的愤怒范围内,没有注意到该评论,感谢链接。