WINNERWELL Печка за къмпинг на Woodlander S-size Cook = ДЪРВЕНА ПЕЧ ЗА ГОРЕНЕ S (шатра-Марк ДИЗАЙН × WINNERWELL)

Ако искахме да знаем дали в даден домейн в миналото са му били издадени SSL сертификати от CA, които сега са отменени / изтекли, има ли ресурс, който разполага с тази информация?

Вероятно не.

Първо, от гледна точка на поверителността:

  • Ако не сте законният собственик на това име на домейн, собствениците може да са ви защитили от сървъра. Не е ваша работа да знаете дали те имат сертификат за хост, един от неговите псевдоними CNAME или нещо подобно. Бих сметнал, че CA, изтичащ такъв вид информация, освобождава частни данни до известна степен (не по смисъла на публичен / частен ключ).
  • Ако сте собственик на услугата, може би трябваше да водите по-добри записи. По подобни причини фактът, че сега контролирате име на домейн, не означава, че сте били негов собственик преди няколко години, например.

Като се има предвид това, ако приемем, че става въпрос за хост, който е публично видим, може да сте в състояние да поискате нотариусите, използвани от системи като Convergence, за да ви помогнат да намерите редица сертификати, които може да са били валидни за име на хост, но не непременно всички от тях.

Все още е възможно да имате множество сертификати от множество CA (търговски или вътрешни), всички валидни едновременно. Фактът, че един потребител вижда валиден сертификат от определен CA не означава, че друг няма да види друг сертификат, също валиден, от същия или друг CA. Това може да се случи на големи сайтове (които биха използвали DNS балансиране на натоварването например), както е илюстрирано в този въпрос за Security.SE.

Освен това всеки може да издаде сертификат за всеки хост. Мога да издам сертификат за google.com като използвате няколко команди на OpenSSL за 2 минути. Без хакерство. Проблемът е, че само аз ще призная този сертификат за валиден.

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?