证书颁发机构签署CSR时的安全隐患

时间:2017-10-30 19:42:25

标签: ssl https ssl-certificate

假设我提交的CSR名称不是我的www.google.com,并且CA批准了该域名。

我一直想知道CA如何验证我是所有者并批准。显然这肯定会被拒绝,但它不能阻止我模仿其他知名度较低的域名吗?

如果CA批准了模仿者,会有什么安全隐患?

1 个答案:

答案 0 :(得分:0)

所有商业CA都有所谓的注册机构,它执行请求者的身份检查并使用各种机制来确定您是否有资格申请指定域的证书。其中一项检查可能包括域DNS区域中的特殊DNS条目。根据提供商,可能会进行其他检查。因此,即使对于鲜为人知的域名,您也必须证明您拥有或由所有者委托该域名。迫使CA错误地颁发证书并不容易。它适用于域验证的证书。关于维基百科的更多细节:https://en.wikipedia.org/wiki/Certificate_authority#Validation_standards

对组织验证的证书进行附加检查,您必须提供证明您的权限的文档副本。甚至对EV证书进行了更广泛的检查。

含义很简单:如果您可以将用户流量重定向到具有错误颁发证书的Web服务器,则可以执行MITM攻击。但是,它会对CA声誉产生巨大的负面影响,因此CA倾向于正确执行检查以保存其声誉和潜在客户。