丽江 大佬有话说 :
难道没人觉得证书透明度 Certificate Transparency 很有问题吗
本帖最后由 丽江 于 2021-9-19 06:28 编辑
https://i.loli.net/2021/09/19/eT7ck9wYzS3lrby.png
https://crt.sh/
只要用证书,内部域名就全都暴露出来了,公网随便查。而且还是永久保留,想删也没办法。
嗷嗷 大佬有话说 :
的确是这样的
erno 大佬有话说 :
没问题,能用就行
丽江 大佬有话说 :
发现一个脚本可以通过 CT log 直接查询所有子域名:https://github.com/UnaPibaGeek/ctfr
拿楼上大佬的域名测试了一下(只是演示,没有恶意)
https://i.loli.net/2021/09/19/ziAkv4f2VUXQKTI.png
虚假的正义 大佬有话说 :
没问题。
这个专门防证书机构偷发证书。
如果你不想公开域名,直接本地自签
Rayer 大佬有话说 :
确实如此,自己的域名都爆了。。。。