Pertanyaan Permintaan palsu, auditor sertifikat?


Dalam beberapa hari terakhir, saya telah melihat banyak permintaan POST ke banyak domain yang saya miliki mengenai jalur berikut:

/ct/v1/sct-gossip
/ct/v1/sct-feedback
/.well-known/ct/v1/sct-feedback
/.well-known/ct/v1/sth-pollination
/.well-known/ct/v1/collected-sct-feedback
/.well-known/ct/v1/sct-gossip
/topleveldir/subdir/research-feedback

Apakah seseorang ini mencoba melakukan sesuatu yang meragukan?

Saya menemukan dokumen berikut yang menunjukkan ini mungkin ada hubungannya dengan auditor sertifikat meskipun saya tidak yakin apa! Semua situs web saya digawangi oleh Cloudflare yang memberikan sertifikat SSL sehingga saya benar-benar berharap Cloudflare menangani permintaan semacam itu.

https://tools.ietf.org/html/draft-ietf-trans-gossip-00

Pikiran apa pun akan dihargai :-)


12
2017-10-03 23:06


asal


Jawaban:


Setelah penyelidikan, permintaan berasal https://net.in.tum.de/projects/gino/index.html#internet-wide-scans

Mereka sedang melakukan pengukuran Internet untuk menemukan Endpoint Sertifikat Transparansi Gosip.

Anda dapat meminta mereka untuk memasukkan domain / IP Anda hanya dengan mengirim email ke scans@net.in.tum.de

Salam


4
2017-10-05 08:48



Ini adalah protokol keamanan knwon untuk rantai sertifikat.


1
2017-10-04 10:20



https://ct.grahamedgecombe.com/

memiliki: Gosip Kepala Pohon bertanda

Dua titik akhir API disediakan untuk bertukar gosip STH:

/ct/v1/sth-gossip, which implements draft-linus-trans-gossip-ct-01.
/.well-known/ct/v1/sth-pollination, which implements draft-ietf-trans-gossip-00.

Keduanya mengembalikan semua STH yang diamati selama satu jam terakhir, jadi tidak ada gunanya menanyakannya lebih dari sekali setiap 30 menit. Jika Anda menggunakan salah satu dari titik akhir ini, saya akan menghargai kemampuan untuk mengambil gosip dari monitor Anda sebagai balasannya. Secara khusus, endpoint / ct / v1 / sth-gossip tidak mendukung pertukaran gosip di kedua arah. Hubungi saya jika Anda ingin mengatur ini. Gosip Tanda Waktu Sertifikat yang Ditandatangani

Endpoint API eksperimental disediakan untuk mengirim gosip SCT:

/ct/v1/sct-feedback, which implements draft-ietf-trans-gossip-00.

Monitor memeriksa bahwa entri yang sesuai dimasukkan dalam log setelah Penarikan Gabungan Maksimum log telah berlalu. Meskipun hasil dari cek ini disimpan dalam database, mereka saat ini tidak ditampilkan di antarmuka web.


1
2017-10-04 17:19



TLDR; - kemungkinan besar lalu lintas berbahaya atau memeriksa bahwa ips jatuh dalam kisaran yang diposting oleh @ QuentinL.D

Itu .well-known URL kemungkinan mencoba untuk mengeksploitasi sebagian mungkin dari https://www.letsencrypt.org. Atau kemungkinan lebih banyak server web yang salah konfigurasi. Saya katakan mungkin b / c saya belum mendengar ada masalah dengan letsencrypt, jika Anda tidak menggunakannya letsencrypt maka saya akan menganggap lalu lintas jahat ini. Permintaan normal dari letsencrypt/certbot[1] akan terlihat mirip dengan:

127.0.0.1 - - [03/Oct/2017:22:21:02 +0000] "GET /.well-known/acme-challenge/2VJSAGWTQ3l14rkSa7MTbVYKiwPEXvrx2T1BdQpOVhc HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)" "-"

Perhatikan bahwa negara tambang 127.0.0.1 b / c saya merutekan permintaan ini dengan haproxy secara lokal ke port / backend yang berbeda dan tidak ke server web di kluster.

1 - https://github.com/certbot/certbot

Saya juga melihat ini di log server web saya, yang tidak akan pernah meng-host sebuah letsencrypt .well-known folder, itulah sebabnya saya (secara singkat) menjelaskan pengaturan saya di atas

Saya menyadari ini bukan jawaban yang tepat untuk pertanyaan Anda, tetapi semoga ini membantu.

EDIT: IP yang memukul url ini berada dalam kemarahan yang diposting oleh @ QuentinL.D, tidak memperhatikan komentar itu terlebih dahulu, terima kasih atas tautannya.


0
2017-10-04 16:12