域名过期和TLS

Question

如果我购买的域名已过期，我是否有任何保证，以前的所有者没有有效的HTTPS证书的网站？换句话说，CA在颁发证书时是否检查域名过期日期，以确保证书不超过对域的所有权？或者，CA是否监视域名所有权并撤销已删除域的证书？

Answer 1

我是否有任何保证，以前的所有者没有有效的HTTPS证书的网站？

不，你不知道。

can可以颁发在域名到期后有效的证书(在发布时)。即使没有，域名也可以在到期前转让。

此外，您不可能控制所有存在并被潜在客户端信任的CA。即使有一个可以监视域名注册更新的方案，并不是所有的CA都可能是该方案的一部分。您不可能确切地知道您的潜在用户可能信任的所有can。

我可以创建我自己的CA，并为一个甚至还不存在的域颁发一个有效期为20年的证书。当然，这是一个极端且毫无意义的例子，但如果我使用它作为内部CA，然后您碰巧注册该域，您将无法知道它。

当然，你可以把你的假设限制在主要的CA上。然而，据我所知，它们不监视whois数据库的更改，至少对于域验证的证书是这样的(我不确定在EV证书中是否存在这种情况)。

Answer 2

如果我们以维瑞信认证业务说明书为例，似乎没有对域所有权结束日期的任何控制(参见域验证的条件，第83和84页:与日期无关)。实际上，相同的CPS声明，他们认为域验证最多可持续13个月(参见第76页)，EV证书的最长生存期为27个月，因此您可以期望的最佳保证是，域名的证书不会超过40个月。这有点长。

我们在这里只讨论Verisign证书。每个CA都有自己的规则，在这一问题上似乎没有任何共识或强制执行的限制。最终，设置边界是OS/浏览器供应商的责任，但据我所知，Microsoft/Mozilla/Apple没有将证书有效期与域过期相匹配的规定。

Answer 3

您可以通过实现亦称DANE来减少这种风险，在这里，您实际上是将web服务器的公钥存储在DNS中。这一点目前在Chrome中得到支持。

我不确定先前业主的证书是否优先于丹恩，反之亦然。考虑到它解决的安全问题，与传统的HTTPS相比，所有TLS浏览器都尝试验证连接(最好是通过DNSSec)。