秘密客
@mysterier
Thu, May 26, 2022 5:26 AM
3
剛剛看到某電子商務網站的憑證,竟然是裝 Let's encrypt...
這個拿來商用有風險吧,而且還是做網購的網站
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Thu, May 26, 2022 5:41 AM
按照其理論,是沒有風險啦~
只是騙子要做偽裝網站,使用者比較難分辨而已
jesse
@jessechen
Thu, May 26, 2022 5:46 AM
演算法的保護是一樣的吧
天津風
@yamato_han
Thu, May 26, 2022 5:48 AM
真的要說風險就是網站只要有 http 的資料夾
.well-known/acme-challenge
就可以申請到真的憑證
其他好像也還好?大部分憑證至少都要有 DNS 權限才能申請,但 Let's Encrypt 可以用 acme 資料夾認證
天津風
@yamato_han
Thu, May 26, 2022 5:50 AM
不過就算網站本身不是用 Let's Encrypt
如果 Web 資料夾的寫入權限被拿到,又沒有 DNS CAA ,好像還是可以取得合法憑證偽造連線
一般人應該沒事不會去看憑證誰簽的
𝒯𝓎𝓅𝑒-𝓔𝓲𝓰𝓱𝓽
@f787f
Thu, May 26, 2022 5:51 AM
天津風
: 還有偽裝起來看起來很像XD
Let’s Encrypt 免費方案沒有對申請企業認證,所以單從憑證來看沒辦法看出是簽給誰的
羅賓葱燒鷄
@weitsong0936
Thu, May 26, 2022 8:07 AM
CA名就寫了Let's Encrypt,又不保證識別。
載入新的回覆
這個拿來商用有風險吧,而且還是做網購的網站
只是騙子要做偽裝網站,使用者比較難分辨而已.well-known/acme-challenge就可以申請到真的憑證其他好像也還好?大部分憑證至少都要有 DNS 權限才能申請,但 Let's Encrypt 可以用 acme 資料夾認證
如果 Web 資料夾的寫入權限被拿到,又沒有 DNS CAA ,好像還是可以取得合法憑證偽造連線
一般人應該沒事不會去看憑證誰簽的Let’s Encrypt 免費方案沒有對申請企業認證,所以單從憑證來看沒辦法看出是簽給誰的