给 IP 地址+SSL 证书保护是否可以更好的防止劫持？ - V2EX

Home Sign Up Sign In

Let's Encrypt

› Certbot 使用文档

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

This topic created in 3013 days ago, the information mentioned may be changed or developed.

最近观测国内部分地区出现的域名恶意劫持情况越发的猖獗，甚至部分地区连 HTTPS 链接都可以直接被劫持跳转到第三方的网站，这种情况下即便是使用 HSTS 强制策略也显得很乏力。但大多数情况都是针对域名发出的攻击。
我们正在测试在 DV SSL 和 OV SSL 验证级别的情况下给公网 IP 地址签发公开信任的 SSL 证书，来实现 https://+IP 访问网站或服务。
不知道这样能否更有效的防止这类恶意劫持？

5 replies • 2018-04-24 11:29:04 +08:00

1

fancy20

Mar 8, 2018

HSTS 应该可以应对域名劫持的问题吧，解析到第三方服务器没有对应域名的证书不能建立 SSL 连接的吧？

2

parametrix

Mar 8, 2018

hsts preload 可以在一定程度上缓解这个问题。

3

Rezark

Mar 9, 2018

HSTS 技术有利有弊，目前不是所有浏览器都支持，IP 证书属于 SSL 证书一种，现在域名证书还是主流。

4

keyfunc

Mar 11, 2018

新的浏览器内置了 HSTS 列表解决该问题，https://hstspreload.org/

5

HTTPS198

Apr 24, 2018

申请 SSL 证书到环洋诚信

About · Help · Advertise · Blog · API · FAQ · Solana · 1045 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 36ms · UTC 23:05 · PVG 07:05 · LAX 16:05 · JFK 19:05
♥ Do have faith in what you're doing.