通配符证书注册晚了吗?
我一直试图了解证书是如何注册的,通配符证书是如何引起我的注意的。
对于一些在其站点中提供免费托管的公司,我注意到拥有免费帐户的客户端也可以拥有有效的SSL证书。
例如,ABC托管公司与abchosting.com网站。它的网站有一个有效的SSL证书,还有他们为新的免费托管客户端提供的其他子域。这样他们就能拥有和person1.abchosting.com company1.abchosting.com blog1.abchosting.com一样多的东西
但是当我签入crt.sh时,一些子域还没有出现。通配符证书是否比主域注册得晚?
如果注册时间较晚,除了crt.sh之外,有没有办法监视在该域的通配符中颁发的SSL证书。
谢谢。
回答 1
Security用户
发布于 2022-03-11 20:15:38
这是一个DNS问题,而不是证书问题。
主题可选名称dNSName条目中的dNSName通配符并不扩展到证书颁发时有效的所有子域,但星号被刻录到证书中,并且在请求资源时由客户端库做出决定。
example.org获得没有注册子域的*.example.org证书是完全有效的.他们证明了他们拥有example.org名称的权利。在获得该证书之后,他们可以在DNS服务器中注册demo.example.org,并且瞧,证书与此相匹配。然后他们可以移除它..。并设置一个完全不同的demo.example.org,并且证书仍然与它匹配。
我不知道是否可能精确地枚举DNS子域。如果一个域有自己的DNS服务器,它可以有不可枚举的记录,并使用某种不透明的机制将特定请求(例如demo.example.org)转换为RR (可解析记录: IPv4、IPv6或CNAME条目),然后按预期传播。
https://security.stackexchange.com/questions/260230
复制相似问题
腾讯云开发者
