是什么阻止攻击者为现有站点注册TLS证书？

Question

这将用于网络钓鱼攻击，例如咖啡店攻击，其中google.com成为一个网站由攻击者控制，完成了魔术锁旁边的网址。我是否可以使用letsencrypt为浏览器信任的任何网站创建有效的证书？

Answer 1

是什么阻止攻击者为现有站点注册TLS证书？

证书由证书颁发机构(CA)颁发，这些证书本身就是主要web浏览器所信任的。CA的工作是防止您在问题中所描述的内容。他们通过验证您拥有/控制您要求他们颁发证书的域来做到这一点。这通常是通过域验证来完成的。通常，它要求域所有者执行以下操作之一：

• 在域站点的URL上发布CA提供的字符串
• 单击发送到域的管理电子邮件地址的验证链接。
• 在域的DNS中发布CA提供的字符串

准确地执行此验证过程非常符合CA的利益，以防止向实际上不拥有/控制他们请求证书的域的攻击者颁发证书。如果CA向攻击者颁发证书，则用户可能不再信任此CA，浏览器也可以采取撤销对此CA的信任的步骤。这就是2011年DigiNotar所发生的事情。