我用谷歌搜索并找到了这个帖子:https://security.stackexchange.com/questions/46988/is-it-technically-possible-to-configure-two-different-ssl-certificates-for-the-s
如果这实际上是可能的,那么是什么阻止我,比如说获取 paypal.com(或一些重要网站)的 SSL 证书,以某种方式让用户使用这个新证书(缓存中毒,其他的,其实不重要)进入我的网站/服务器并伪造网站进行窃取数据等恶意的事情?
答案1
SSL 供应商不会向您出售 PayPal.com 的证书。证书颁发机构的全部意义在于让组织负责验证您是否控制相关域名。
链接的问题涉及两个不同的 SSL 证书,但都适用于example.com
。 这两个证书都要求请求者example.com
在由 CA 生成证书之前证明对 的控制权。
答案2
当然可以。除非您拥有该域,否则您无法让公共 CA 为您颁发证书。但是,您可以使用自己创建的证书,如果您可以让客户端信任您的证书或您使用的 CA,那么他们在使用它时就不会遇到任何错误。这就是一些公司代理的工作方式,以便它们可以扫描 HTTPS 流量。
答案3
从技术上讲,但实际上,您可以为 paypal.com 购买证书。稍后我将介绍具体操作,但让我们暂时假设您已经购买了。
然后您需要在您的服务器上安装此证书。由于您不拥有 paypal.com,因此您可能拥有,比如说,paypall.com,希望您的访问者不会注意到这两个 L。
一旦访问者访问您的网站,他们就会收到一条警告,提示证书与 URL 不匹配。虽然浏览器允许用户继续,但警告看起来很吓人,会让大多数人无法继续。
证书结构有点像双因素身份验证:
- 您拥有的内容:证书的私钥
- 你是谁:URL
如果两者皆非,就会出现错误。
现在来看看实际情况:没有哪个信誉良好的 CA 会在没有正确文档的情况下向您出售 paypal.com 证书。每个 CA 都会经过严格的验证过程,以确保您拥有该域名并且您就是您所说的那个人。即使是免费的 SSL 工具 Let's Encrypt 也会通过检查 DNS 设置或使用其爬虫访问您的网站来验证您是否拥有该域名。