我本地部署了两个小网站,大家都在说网站得套个WAF,于是我装了个雷池WAF个人版,免费的。
通过攻击日志,我发现确实很多人攻击我的站点,各种扫描各种BUG尝试。我就纳闷了,我这么个访问量极少的网站也有人攻击,真闲啊。
但毕竟也是多年的老域名了,没多想。心想搜索引擎多少也有收录,被扫也正常。
然而事情没有这么简单。前段时间部署了个相册,一开始偷懒,雷池上我随便套了个证书,反正自己测试。因为拖延症,前前后后拖延了有一个多月,域名一直很安全,除了我自己访问,没有人扫站。
可今天我闲的蛋疼,顺手把SSL证书给申请了。就是雷池自带的Let’s Encrypt的免费证书。好家伙,不到5分钟。我打开雷池后台一看。呵呵。各种扫站都来了,我勒个去。
这里有个细节,我当前有5个站(都是玩的),除了之前的两个博客一直有被攻击。剩下一个相册一个游戏资料,还有个个人网盘。我只申请了前两个,网盘我还没来得及申请证书。嘿嘿,你猜怎么着?申请了证书的两个域名,马上把扫站的招惹来了。没证书的这个域名,依然安安静静。
回想之前好像看到过一个地址,可以看到哪些域名申请了证书的。估计攻击者就是从那里批量获取域名。进而实施攻击吧。
这就很尴尬了。我申请SSL证书是为了安全。本来我门没锁,十年八年的都没人从门前过,颇有点夜不闭户的安全。结果我申请证书的时候自己把门牌号公开出去。瞬间引来一大堆好事者有事没事跑来推推门,看你门锁紧了没。如果门没锁紧就会进屋为所欲为。
现在个人部署个小应用再正常不过了,网上有很多自托管的网站程序方便使用。可证书这种自报曝门的做法,确实有点可笑了。
所以个人应用还是使用自签名得了。免得一天天那么多扫描。谁知道哪天出个漏洞被利用。肉鸡事小,资料泄露也忍了,可万一数据被删,那就MMP了。
自签名并不代表不安全,完全可以放心使用,浏览器提示不安全那是因为它没钥匙。你可以每次告诉它该访问是安全的,或者复制把备用钥匙交给它,下次它就认门了。
下面引文来自Let’s Encrypt社区:
Yes, this is a known attack vector for quite some time already.
This is not directly related to Let’s Encrypt, but is applicable to all publicly trusted certificate authorities (CA) due to Certificate Transparancy Logs (which are mandatory to use).
All publicly trusted CAs need to publish all issued (pre)certificates to certificate transparancy logs. And due to the transparant nature of these logs, they are publicly accessible.
And unfortunately also malicious entities can use these certificate transparancy logs to look for newly issued certificates of newly installed software (e.g. WordPress or something like that).
These malicious entities can e.g. look for default passwords for yet unprotected web applications and hijack this software even before the user gets to change this default password.
It’s an unfortunate side effect of these transparancy logs and most web applications have taken care of this attack vector by e.g. using randomised passwords in the onboarding phase.
顺便DISS下谷歌&苹果,一天天的搞缩短SSL证书有效期。这么大的一个BUG居然眼瞎看不见,还是看见了不管?每申请证书一次就会引来更多的攻击者!缩短时间真TM安全,通讯是安全了,但是却天天伸着脸在网上喊叫,你打我撒,你打我撒。。。
