DNS劫持和主题替代名称

Question

我的网站在谷歌的火源托管上发布。我拥有这片土地。Google提供了一个SSL证书(最近来自于让我们加密，它曾经是其他人)。证书是在多个域之间共享，使用主题替代名称。我不拥有其他域名。

一旦验证了域所有权，我们将为您的域提供SSL证书，并将其部署到我们的全局CDN中。这个过程可能需要几个小时。域将在FirebaseApp SSL证书中作为主题替代名称列出。

我的问题是:如果DNS劫持攻击将请求重定向到共享相同证书的其他域之一，会发生什么？共享证书的另一个服务将收到对我的域的请求。服务器将如何响应？我的浏览器会接受响应吗？如果没有，如何防止这种情况发生？

Answer 1

在最简单的情况下，您在Firebase主机上的域与同一证书中提到的其他主机共享相同的IP地址，这意味着实际上没有DNS欺骗。

如果IP地址不是安全的，并且DNS响应可以被欺骗以指向提供相同证书的不同IP地址，那么TLS握手中的服务器名和HTTP请求中的主机报头都将包含您的域。web服务器对在这些标头中有一个域(在web服务器上没有配置)的反应方式取决于服务器配置，这也意味着行为可能会随着时间的推移而改变。典型的行为要么是正常的响应，比如TLS级别的错误(未知的server_name)，要么是HTTP级别的错误，或者是从服务器上的另一个域返回数据的疯狂响应。我希望服务器是以正常的方式配置的，但是没有办法测试它。但是，如果您知道同一证书实际上是在不同的IP地址上使用的，您可以自己尝试：

$ openssl s_client -connect IP:port -servername example.com
GET / HTTP/1.0
Host: example.com