V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zhengfan2016
V2EX  ›  问与答

局域网内自签 https 证书难道不需要证明对该域名的所有权?

  •  
  •   zhengfan2016 · 2023-09-12 09:06:29 +08:00 · 2665 次点击
    这是一个创建于 467 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,最近发现朋友公司的内网 oa.com 居然不需要客户端安装证书就能被信任,证书颁发者是 Go Daddy Secure Certificate Authority - G2 。这到底怎么做到的,不理解。难道朋友公司有 oa.com 的所有权吗

    21 条回复    2023-09-13 10:39:17 +08:00
    keyfunc
        1
    keyfunc  
       2023-09-12 09:14:38 +08:00
    所以到底是自签还是 GoDaddy 的 CA 签的?如果发现 CA 滥发证书的话,可以去 Mozilla 社区举报: https://wiki.mozilla.org/CA/Incident_Dashboard
    xomix
        2
    xomix  
       2023-09-12 09:17:30 +08:00
    我想到一种可能,他就是把这个域名签到特定的局域网 ip 里了(甚至更过分,使用广域网 ip 来做局域网 ip 了)
    zhengfan2016
        3
    zhengfan2016  
    OP
       2023-09-12 09:17:49 +08:00
    @keyfunc 应该是 Go Daddy 签的, 难道狗爹给域名发证书可以不用验证域名所有权吗
    leonshaw
        4
    leonshaw  
       2023-09-12 09:18:16 +08:00 via Android
    发出来看看
    keyfunc
        5
    keyfunc  
       2023-09-12 09:21:45 +08:00
    @zhengfan2016 大可能性是用了 oa 的什么 saas 服务,服务上有 oa.com 的控制权
    leonshaw
        6
    leonshaw  
       2023-09-12 09:22:26 +08:00 via Android
    如果是真的 ct log 应该能查到
    pridealloverme
        7
    pridealloverme  
       2023-09-12 09:32:46 +08:00
    把证书发出来看下就知道是不是自签了。有可能是他们自签的 CA 和 goDaddy 的差不多名称
    tpsxiong
        8
    tpsxiong  
       2023-09-12 09:43:10 +08:00 via Android
    有没可能 it 出厂的电脑直接植入了根证书?
    tool2d
        9
    tool2d  
       2023-09-12 10:10:04 +08:00
    是公司办公内网,又不是任意网页证书,有个域名所有权也是很正常的。
    illl
        10
    illl  
       2023-09-12 10:13:15 +08:00 via iPhone
    oa.com 好像是腾讯内网的域名吧
    libook
        11
    libook  
       2023-09-12 10:20:03 +08:00
    证书跟域名绑定,域名根据 DNS 解析到 IP ,所以证书跟是不是内网没有关系。

    比如我现在就有个域名,用 let‘s encrypt 发了证书,然后无论我 DNS 上将这个域名解析到哪个 IP 都可以,不管是公网还是内网 IP 。浏览器会根据域名找 DNS 确认是哪个 IP ,但是在验证证书阶段就完全不管 IP 的事情了,只关心服务器返回的加密数据是否可以使用本地对应域名的密钥解密。

    只要是公共 CA 签发的证书,浏览器和操作系统通常都内置了公钥,不需要额外安装。

    公共 CA 给域名签发证书,如果域名在公网就可以直连验证所有权,如果域名在内网就没法直连验证所有权,但是有其他方式可以验证所有权,比如域名持有者可以在 DNS 上添加特殊记录来证明自己拥有这个域名。
    renfei
        12
    renfei  
       2023-09-12 10:26:26 +08:00
    CN = Go Daddy Secure Certificate Authority - G2
    OU = http://certs.godaddy.com/repository/
    O = GoDaddy.com, Inc.
    L = Scottsdale
    ST = Arizona
    C = US
    在 9/8/22, 10:28:44 PM GMT+8 确实签发了 oa.com 的证书,如果证书跟这个一致的话,估计真的拿到了这个证书的 key

    https://cdn.renfei.net/tmp/_.oa.com.cer
    someday3
        13
    someday3  
       2023-09-12 10:27:50 +08:00
    楼主至少给一个哈希值啊,这样就知道是不是自签的。

    你说到谁签发这个事情,是名字些的是 godaddy 还是就有 godaddy 的证书链?这两种情况完全不一样。

    补充一个哈希值出来,我们验一下就知道了。
    gamexg
        14
    gamexg  
       2023-09-12 11:06:31 +08:00
    oa.com 外网访问也是有证书的.
    应该是实际持有 oa.com 这个域名.

    另外,只有有域名所有权,就可以申请到 https 证书,用到内网还是外网服务器都可以.
    VYSE
        15
    VYSE  
       2023-09-12 11:09:46 +08:00
    哪家公司? 能拥有这个域名
    InDom
        16
    InDom  
       2023-09-12 11:12:21 +08:00
    julyclyde
        17
    julyclyde  
       2023-09-12 12:46:51 +08:00
    腾讯的么?
    腾讯工作机器自带了腾讯自己的根正处
    julyclyde
        18
    julyclyde  
       2023-09-12 12:47:30 +08:00
    @illl 其实腾讯只是盗用而已
    估计是古代某个没文化的同事随便设置的
    dif
        19
    dif  
       2023-09-12 14:33:40 +08:00
    见过很多公司,内部利用 DNS ,用的通常都是 2-3 个字母得域名。比如某公司对内所有业务都是 xx.dw.com 。其实他们并不拥有 dw.com 得所有权。
    louisxxx
        20
    louisxxx  
       2023-09-12 21:23:21 +08:00
    @julyclyde 签个与真正 CA 同名的可以做透明监控看起来也不起眼
    Projection
        21
    Projection  
       2023-09-13 10:39:17 +08:00
    证书透明度可以审计 CA 签发证书的行为:

    crt.sh | oa.com
    https://crt.sh/?q=oa.com
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1082 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 18:04 · PVG 02:04 · LAX 10:04 · JFK 13:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.