阻止憑證授權單位伺服器

Question 1

您無法透過在防火牆中封鎖特定 IP 位址或主機名稱來封鎖 CA 所發出的憑證。

頒發憑證後，使用該憑證的服務和存取該服務的用戶端都不需要與 CA 聯繫才能使用該憑證來保護通訊。

（這是一個簡化：例如檢查憑證的吊銷狀態確實需要與CA聯繫，但據我所知，通常當無法檢查吊銷狀態時，憑證被認為是有效的。）

Answer

您無法透過在防火牆中封鎖特定 IP 位址或主機名稱來封鎖 CA 所發出的憑證。

頒發憑證後，使用該憑證的服務和存取該服務的用戶端都不需要與 CA 聯繫才能使用該憑證來保護通訊。

（這是一個簡化：例如檢查憑證的吊銷狀態確實需要與CA聯繫，但據我所知，通常當無法檢查吊銷狀態時，憑證被認為是有效的。）

Question 2

如果您想封鎖為您的網域所核發的 LetsEncrypt（或任何 CA）並且您控制自己的 DNS，請在您的網域中發布 CAA 記錄。

因此，如果您想封鎖所有 CA，您可以新增一筆記錄，例如

example.com.    IN      CAA     0 issue ";"

想像一下，我有一台運行 10 個虛擬 vps 的伺服器，我想阻止任何對 LetsEncrypt 的請求，以防止驗證憑證

如果您正在執行所有 Web 伺服器，您可以透過調整 Web 伺服器來阻止對位置的存取來阻止 HTTP-01 質詢/.well-known/acme-challenge/。如果您對傳入流量設定了反向代理或網路過濾器，您也可以在那裡封鎖這些 URL。

Answer

如果您想封鎖為您的網域所核發的 LetsEncrypt（或任何 CA）並且您控制自己的 DNS，請在您的網域中發布 CAA 記錄。

因此，如果您想封鎖所有 CA，您可以新增一筆記錄，例如

example.com.    IN      CAA     0 issue ";"

想像一下，我有一台運行 10 個虛擬 vps 的伺服器，我想阻止任何對 LetsEncrypt 的請求，以防止驗證憑證

如果您正在執行所有 Web 伺服器，您可以透過調整 Web 伺服器來阻止對位置的存取來阻止 HTTP-01 質詢/.well-known/acme-challenge/。如果您對傳入流量設定了反向代理或網路過濾器，您也可以在那裡封鎖這些 URL。

相關內容