阻止憑證授權單位伺服器

阻止憑證授權單位伺服器

是否可以阻止網路上的特定 TLS CA(憑證授權單位)?例如,阻止我的網路上由 LetsEncrypt 頒發的所有憑證是否有任何 IP 或主機名稱可供封鎖?

答案1

您無法透過在防火牆中封鎖特定 IP 位址或主機名稱來封鎖 CA 所發出的憑證。

頒發憑證後,使用該憑證的服務和存取該服務的用戶端都不需要與 CA 聯繫才能使用該憑證來保護通訊。

(這是一個簡化:例如檢查憑證的吊銷狀態確實需要與CA聯繫,但據我所知,通常當無法檢查吊銷狀態時,憑證被認為是有效的。)

答案2

如果您想封鎖為您的網域所核發的 LetsEncrypt(或任何 CA)並且您控制自己的 DNS,請在您的網域中發布 CAA 記錄。

因此,如果您想封鎖所有 CA,您可以新增一筆記錄,例如

example.com.    IN      CAA     0 issue ";"

想像一下,我有一台運行 10 個虛擬 vps 的伺服器,我想阻止任何對 LetsEncrypt 的請求,以防止驗證憑證

如果您正在執行所有 Web 伺服器,您可以透過調整 Web 伺服器來阻止對位置的存取來阻止 HTTP-01 質詢/.well-known/acme-challenge/。如果您對傳入流量設定了反向代理或網路過濾器,您也可以在那裡封鎖這些 URL。

相關內容