每日签到奶昔超市积分商城奶昔访达
返回列表 发布新帖
查看: 257|回复: 6

[安全] 【转】LiteSSL 鉴权漏洞 可随意盗签他人泛域名证书

发表于 2026-1-21 17:26:51 | 查看全部 |阅读模式

登录后免广告,享受更多奶昔会员权益!

您需要 登录 才可以下载或查看,没有账号?注册

×
原帖在V2EX上,转过来希望有用过这家的奶友避免证书安全问题。
LiteSSL 似乎是一家去年才出现的 CA ,提供免费的 TrustAsia 的基于 acme 签发的通配符证书
不过我实测,它的 acme 服务器签发非常容易报错: Too many concurrent connections from IP 10.254.14.70 (limit: 10), url: urn:ietf:params:acme:error:rateLimited:concurrent
显然,它后台获取客户机真实 IP 的配置有问题,把反代服务器的内网 ip 当做客户 ip 做速率限制
并且,它存在严重的鉴权漏洞
它的 DNS-01 challenges 缓存似乎有效期很长,并且没有验证签发请求是否来自同一个 acme 账户,使得我们可以随意盗签他人使用 DNS-01 签发的证书
去这里查找该 CA 签发的证书( ECC,RSA 也类似),随机挑选一个带通配符域名的证书,就可以用自己的 litessl acme 账户重签发证书了,不会触发验证
https://crt.sh/?CN=%25&iCAID=438132
ssyhwa.cloudns.cl 是我临时创建的域名,测试用的,已经过了 DNS-01 验证可以复现
*.vaadd.com 则是我随便选的一个幸运儿,也成功偷到了他的证书



他的证书的上一级是由TrustAsia亚洲诚信的根,绝大多数都信任
看了下 litessl.cn 官网底部挂的备案和公司全是亚洲诚信的,估计是子公司吧
爱生活,爱奶昔~
回复

使用道具 举报

发表于 2026-1-21 17:34:36 来自手机 | 查看全部
能不能偷个 gsma 发卡服务器的证书 (手动狗头)
爱生活,爱奶昔~
发表于 2026-1-21 17:41:25 | 查看全部
草台班子哦,怕不是人家还在用就吊销了
爱生活,爱奶昔~
发表于 2026-1-21 18:05:23 来自手机 | 查看全部
本帖最后由 xireiki 于 2026-1-21 18:07 编辑

我觉得这除了被别有用心之人利用以外,没有任何用处,算事故了吧(
爱生活,爱奶昔~
发表于 2026-1-21 18:17:11 | 查看全部
为什么我们证书一次就只能续一年,英雄联盟可以续期100年?
爱生活,爱奶昔~
发表于 2026-1-22 00:13:36 | 查看全部
周杰伦 发表于 2026-1-21 18:17
为什么我们证书一次就只能续一年,英雄联盟可以续期100年?

因为那是自签证书..你想多久就多久
好吧,谢谢答疑 
发表于 2026-1-22 09:22
爱生活,爱奶昔~
您需要登录后才可以回帖 登录 | 注册

本版积分规则

© 2026 Naixi Networks. 沪ICP备13020230号-1|沪公网安备 31010702007642号手机版小黑屋RSS
返回顶部 关灯 在本版发帖
快速回复 返回顶部 返回列表