Yêu cầu giả mạo, kiểm toán viên chứng chỉ?

Question

Trong vài ngày qua tôi đã nhìn thấy rất nhiều yêu cầu POST để rất nhiều các lĩnh vực tôi có sở hữu phần đánh các đường dẫn sau:

/ct/v1/sct-gossip 
/ct/v1/sct-feedback 
/.well-known/ct/v1/sct-feedback 
/.well-known/ct/v1/sth-pollination 
/.well-known/ct/v1/collected-sct-feedback 
/.well-known/ct/v1/sct-gossip 
/topleveldir/subdir/research-feedback 

Có ai này cố gắng làm một cái gì đó đáng ngờ?

Tôi tìm thấy tài liệu sau đây cho thấy điều này có thể liên quan đến kiểm toán viên chứng chỉ mặc dù tôi không chắc chắn điều gì! Tất cả các trang web của tôi đều được Cloudflare cung cấp, cung cấp chứng chỉ SSL vì vậy tôi thực sự mong Cloudflare xử lý mọi yêu cầu như vậy.

https://tools.ietf.org/html/draft-ietf-trans-gossip-00

suy nghĩ Bất kỳ sẽ được đánh giá :-)

Answer 1

Sau khi điều tra, đề nghị xuất phát từ https://net.in.tum.de/projects/gino/index.html#internet-wide-scans

Họ đang tiến hành các phép đo Internet để tìm Chứng minh bạch Gossip thiết bị đầu cuối.

Bạn có thể yêu cầu họ vào danh sách đen tên miền của bạn/IP chỉ bằng cách gửi email đến scans@net.in.tum.de

Trân

Answer 2

Đây là một giao thức bảo mật knwon cho chuỗi chứng chỉ.

Answer 3

TLDR; - Giao thông độc hại rất có khả năng hoặc kiểm tra xem ip nằm trong phạm vi đăng bởi @ QuentinL.D

Các .well-known url là nỗ lực có khả năng khai thác một số thể từ https://www.letsencrypt.org. Hoặc nhiều khả năng máy chủ web bị định cấu hình sai. Tôi nói có thể b/c tôi đã không nghe nói về bất kỳ vấn đề với letsencrypt, nếu bạn không sử dụng letsencrypt sau đó tôi sẽ xem xét lưu lượng truy cập độc hại này. Một yêu cầu bình thường từ letsencrypt/certbot [1] sẽ trông tương tự như:

127.0.0.1 - - [03/Oct/2017:22:21:02 +0000] "GET /.well-known/acme-challenge/2VJSAGWTQ3l14rkSa7MTbVYKiwPEXvrx2T1BdQpOVhc HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)" "-"

Lưu ý rằng tôi khẳng định 127.0.0.1 b/ci đường những yêu cầu này với haproxy địa phương tới một cổng riêng biệt/backend chứ không phải máy chủ web trong cụm.

1-https://github.com/certbot/certbot

tôi cũng thấy những trong nhật ký máy chủ web của tôi, mà sẽ không bao giờ tổ chức một thư mục letsencrypt .well-known, đó là lý do i (ngắn gọn) giải thích thiết lập của tôi trên

Tôi nhận ra đây không phải là một câu trả lời chính xác cho câu hỏi của bạn, nhưng hy vọng điều này sẽ giúp.

EDIT: IP đánh các url này nằm trong cơn thịnh nộ được đăng bởi @ QuentinL.D, không nhận thấy nhận xét đó trước tiên, cảm ơn liên kết.

Answer 4

https://ct.grahamedgecombe.com/

có: Signed đồn Tree Trưởng

Hai điểm cuối API được cung cấp để trao đổi STH đồn:

/ct/v1/sth-gossip, which implements draft-linus-trans-gossip-ct-01. 
/.well-known/ct/v1/sth-pollination, which implements draft-ietf-trans-gossip-00. 

cả hai trở lại tất cả các STHs quan sát trong giờ cuối cùng, do đó là điểm nhỏ trong việc truy vấn chúng hơn 30 phút một lần. Nếu bạn sử dụng một trong những thiết bị đầu cuối này, tôi sẽ đánh giá cao việc có thể tìm kiếm tin đồn từ màn hình của bạn. Đặc biệt, điểm cuối/ct/v1/sth-gossip không hỗ trợ trao đổi tin đồn theo cả hai hướng. Hãy liên lạc với tôi nếu bạn muốn tổ chức việc này. Signed Timestamp đồn

Một endpoint API thử nghiệm được cung cấp để nộp thuế TTĐB đồn:

/ct/v1/sct-feedback, which implements draft-ietf-trans-gossip-00. 

Màn hình kiểm tra rằng các mục tương ứng có trong các bản ghi sau tối đa của log Merge trễ đã trôi qua. Mặc dù kết quả của kiểm tra này được lưu trữ trong cơ sở dữ liệu, nhưng chúng hiện không được hiển thị trong giao diện web.