子域_acme挑战是否受到保护？

Question

我正在研究DNS-01的挑战，让我们加密；我有一个关于子域进程1的问题。

比方说，网站example.com提供免费的子域；是什么阻止我请求*.example.com的通配符证书，声明_acme-挑战性.example.com子域来处理DNS-01的挑战？

在ACME协议中有什么东西能阻止我这样做吗？

1 = https://letsencrypt.org/docs/challenge-types/#dns-01-challenge

Answer 1

通常，提供免费/自定义子域的站点提供A记录，而ACME 01挑战则需要添加TXT记录。这会使你的建议变得不太可能。

如果一个站点允许为子域添加任意的TXT记录，并且不保留_acme-challenge，那么协议中没有任何东西可以防止滥用这种特性，而且它将是一个易受攻击的服务。然而，这是一种非常罕见的用例，在设计这样的协议时，没有人会专门考虑到这一点。

幸运的是，如果发生这种情况，让我们在三个月内加密证书，即使没有访问其私钥的权限，也可以对撤销证书进行加密，就像这样：

如果有人在损害您的主机或DNS后颁发了证书，则一旦您重新获得控制，您将希望撤销该证书。为了撤销证书，我们需要加密以确保您控制该证书中的域名(否则，人们可以未经许可互撤销对方的证书)！要验证此控件，让我们使用与验证控件的方法相同的方法进行验证:您可以在DNS TXT记录中添加一个值，或者在HTTP服务器上放置一个较高的文件。--一旦您验证了要撤消的证书中所有域名的控制，就可以下载证书from crt.sh，然后继续撤销证书，就好像您已经颁发了证书: certbot revoke -cert-PATH/PATH/ to / download cert.pem。