登录 立即注册

首页 > 绿虎论坛 > 建站 > 讨论/求助 (发帖)

标题: 没有域名的https不安全,只能绑定域名吗?

作者: @Ta

时间: 2021-12-08

点击: 49825

没有域名是不是就无法申请ssl证书,没有证书是不是就无法确认服务器身份,那就无法防止中间人攻击对吗?
除了中间人攻击还有没有别的问题

[隐藏样式|查看源码]


『回复列表(25|隐藏机器人聊天)』

1.

本质上是:加密&签名,发挥想象力
~~~

(/@Ta/2021-12-08 10:13//)

2. @㝶芾厶眵攴䭡,没理解,什么是加密&签名
(/@Ta/2021-12-08 10:48//)

3.

@胡图图,如果你自己用openssl命令生成一个CA证书,导入浏览器,然后再用这个CA给IP签发证书,也可以实现IP的信任。但是这样非常不方便,因为要把CA导入每一个想信任的浏览器。所以相比之下,绑定域名更容易。

chrome导入证书:https://jingyan.baidu.com/article/154b463180026168ca8f4182.html
firefox导入证书:https://jingyan.baidu.com/article/4e5b3e191205d291911e2463.html

(/@Ta/2021-12-10 14:47//)

4. 我下载安装了那个网页提供的ca证书,但是浏览器显示还是不安全
(/@Ta/2021-12-10 14:46//)

5.

@胡图图,你要把证书导入【浏览器】,是浏览器,不是系统。很多现代浏览器都使用自己的证书库,不读取系统证书。

(/@Ta/2021-12-10 14:57//)

6.

@胡图图,还有,你得检查证书里的“通用名称”或者“使用者可选名称”字段是不是和你的IP一致。有的程序就是随便生成了一个证书,可选名称字段乱填的,当然也无法信任。

(/@Ta/2021-12-10 15:00//)

7.

@胡图图,所以,要实现信任IP,通常来说必须手动用openssl签发证书,保证名称字段是正确的IP。

(/@Ta/2021-12-10 14:49//)

8.

@胡图图,edge似乎会读取系统证书。导入的时候位置要选择“受信任的根证书颁发机构”,选错了就没用。

图片.png

(/@Ta/2021-12-10 15:02//)

9.

@胡图图,这是为IP颁发证书的一个例子,它受浏览器信任。所以配置正确的情况下一定是可以的。
https://1.1.1.1/

重点:

图片.png图片.png

(/@Ta/2021-12-10 14:57//)

10.

@胡图图,在把宝塔的自签名证书导入火狐后,火狐信任了该证书:

图片.png

但是chrome和edge都不信任该证书,原因可能是该证书为自签名:它自己是自己的CA。

图片.png

我认为,要让chrome和edge信任该证书,必须使用标准签名方法:

  1. 签发单独的CA根证书。
  2. 用CA签发一个独立证书作为网站证书。
    此时你有两个证书,一个是CA,一个是网站证书,两者不同。
    然后你把CA导入浏览器的受信任根证书存储区域,网站证书的主题名称如果正确,应该就能自动被信任了。
(/@Ta/2021-12-10 15:10//)

11. 谷歌浏览器直接打不开。。我用的火狐和ie等会再试试能不能导入到火狐
(/@Ta/2021-12-10 15:19//)

12. @老虎会游泳,我下载的证书没有使用者可选名称这一字段
(/@Ta/2021-12-10 15:28//)

13. 是网站提供的证书有问题?
(/@Ta/2021-12-10 15:29//)

14.

@胡图图,对于火狐,没有也行,“通用名称”是你IP也可以。对于chrome和edge,也许没有它就是不信任的原因也说不定,因为宝塔的自签名证书就没有它,只有“通用名称”。

(/@Ta/2021-12-10 15:31//)

15. IMG_20211210_153151.jpgIMG_20211210_153151.jpg
(/@Ta/2021-12-10 15:32//)

16. @老虎会游泳,我也没找到通用名称这个字段
(/@Ta/2021-12-10 15:33//)

17.

@胡图图,呃对了,要看的是网站证书,不是下载下来的CA。如果不是自签名,两者是不同的。你在火狐里打开网站,点锁图标,点“不安全连接”,点“更多信息”,然后点查看证书。

(/@Ta/2021-12-10 15:37//)

18. @老虎会游泳,通用名称看起来是随机的IMG_20211210_154308.jpg
(/@Ta/2021-12-10 15:43//)

19.

@胡图图,那你必须使用这个名称做为主机名进行访问,才能信任。方法:

  1. 把这个名称加入 hosts
  2. 在浏览器访问这个名称
(/@Ta/2021-12-10 15:47//)

下一页 1/2页,共25楼

回复需要登录

11月16日 14:21 星期六

本站由hu60wap6华为CPU驱动

备案号: 京ICP备18041936号-1