虚假请求,证书审核员?

时间:2017-10-03 23:06:13

标签: apache http ssl

在过去的几天里,我看到很多对我拥有的域名的POST请求命中了以下路径:

/ct/v1/sct-gossip
/ct/v1/sct-feedback
/.well-known/ct/v1/sct-feedback
/.well-known/ct/v1/sth-pollination
/.well-known/ct/v1/collected-sct-feedback
/.well-known/ct/v1/sct-gossip
/topleveldir/subdir/research-feedback
这是否有人试图做一些可疑的事情?

我发现以下文件表明这可能与证书审核员有关,尽管我不确定是什么!我的所有网站都是由Cloudflare提供的,它提供SSL证书,所以我真的希望Cloudflare能够处理任何此类请求。

https://tools.ietf.org/html/draft-ietf-trans-gossip-00

任何想法都会受到赞赏: - )

4 个答案:

答案 0 :(得分:4)

经过调查,请求来自https://net.in.tum.de/projects/gino/index.html#internet-wide-scans

他们正在进行互联网测量以查找证书透明度八卦端点。

您可以发送电子邮件至scans@net.in.tum.de

,要求他们将您的域名/ IP列入黑名单

此致

答案 1 :(得分:1)

这是证书链的knowon安全协议。

答案 2 :(得分:1)

https://ct.grahamedgecombe.com/

有: 签名树头八卦

提供了两个API端点来交换STH八卦:

/ct/v1/sth-gossip, which implements draft-linus-trans-gossip-ct-01.
/.well-known/ct/v1/sth-pollination, which implements draft-ietf-trans-gossip-00.

两者都返回了在过去一小时内观察到的所有STH,因此每30分钟查询一次以上几乎没有什么意义。如果您使用其中一个端点,我很高兴能够从您的显示器获取八卦作为回报。特别是,/ ct / v1 / sth-gossip端点不支持在两个方向上交换八卦。如果你想组织这个,请与我联系。 签署证书时间戳八卦

提供实验性API端点用于提交SCT八卦:

/ct/v1/sct-feedback, which implements draft-ietf-trans-gossip-00.

在日志的最大合并延迟结束后,监视器会检查日志中是否包含相应的条目。虽然此检查的结果存储在数据库中,但它们当前未显示在Web界面中。

答案 3 :(得分:0)

TLDR; - 非常可能是恶意流量或检查ips是否在@ QuentinL.D

发布的范围内

.well-known网址可​​能会尝试利用https://www.letsencrypt.org中的某些可能。或者更可能是配置错误的Web服务器。我说可能b / c我没有听说过letsencrypt的任何问题,如果你没有使用letsencrypt那么我会考虑这种恶意流量。来自letsencrypt / certbot [1]的正常请求看起来类似于:

127.0.0.1 - - [03/Oct/2017:22:21:02 +0000] "GET /.well-known/acme-challenge/2VJSAGWTQ3l14rkSa7MTbVYKiwPEXvrx2T1BdQpOVhc HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)" "-"

请注意,我的状态127.0.0.1 b / c i将这些请求与haproxy本地路由到不同的端口/后端,而不是路由到集群中的Web服务器。

1 - https://github.com/certbot/certbot

我也在我的网络服务器日志中看到这些,这些日志永远不会托管letsencrypt .well-known文件夹,这就是为什么我(简要地)解释了我上面的设置

我意识到这不是你问题的确切答案,但希望这会有所帮助。

编辑:点击这些网址的IP在@ QuentinL.D发布的愤怒范围内,没有注意到该评论,感谢链接。