De ce browser-ul meu cred ca https://1.1.1.1 este sigură?

Atunci când am vizita https://1.1.1.1, orice web browser, eu folosesc consideră URL-ul pentru a fi sigur.

Aceasta este ceea ce Google Chrome arată:

În mod normal, atunci când am încercați să vizitați un site HTTPS prin adresa sa IP, am primit un avertisment de securitate astfel:

Din înțelegerea mea, site-ul certificat trebuie să corespundă domeniului, dar Google Chrome Certificat Viewer nu arată 1.1.1.1`:

GoDaddy's intrebari articolul "Pot solicita un certificat pentru un intranet numele sau IP address?" spune:

Nu - nu mai accepta cereri de certificat, fie pentru intranet nume sau adrese IP. Aceasta este o industrie la nivel standard, nu unul specific la GoDaddy.

(accent a mea)

Și, de asemenea:

Ca urmare, eficiente de 1 octombrie 2016, Autorități de Certificare (Ac) trebuie să revoce certificatele SSL care folosesc intranet numele sau adresele IP.

(accent a mea)

Și:

în Loc de asigurarea adrese IP intranet și numele, ar trebui să reconfigurați servere pentru a utiliza Complet Calificat Nume de Domeniu (Fqdn), cum ar fi www.coolexample.com.

(accent a mea)

L's bine dupa obligatorie revocarea data de 01 octombrie 2016, încă certificatul pentru 1.1.1.1` a fost emisă pe 29 Martie 2018 (prezentat în imaginea de mai sus).

Cum este posibil ca toate browserele majore, cred că https://1.1.1.1 este o încredere HTTPS-ul?

Deltik
Întrebarea editată 12 aprilie 2018 в 1:01
Calculatoare
https web browser security ssl-certificate
12 aprilie 2018 в 4:05
8 vizualizări
Comentarii la întrebare (11)

GoDaddy documentația este greșit. Nu este adevărat că Autoritățile de Certificare (Ac) trebuie să revoce certificatele pentru toate adresele IP... doar adrese IP rezervate.

Sursa: https://cabforum.org/internal-names/

CA pentru https://1.1.1.1 a fost DigiCert, care, după cum a scris de acest răspuns, nu permite site-ul de cumpărare de certificate pentru adrese IP publice.

DigiCert are un articol despre acest numit Internă Nume Server SSL Emiterea Certificatului de După 2015:

Dacă sunteți un admin de server folosind numele intern, aveți nevoie pentru a reconfigura aceste servere pentru a utiliza o denumire publică, sau a comuta la un certificat emis de un intern CA înainte de 2015 data cutoff. Toate conexiunile interne care necesită un public care l-a avut încredere în certificat trebuie să fie făcut prin nume, care sunt publice și verificabile (nu contează dacă aceste servicii sunt accesibile publicului).

(accent a mea)

Cloudflare pur și simplu a primit un certificat pentru a adresei IP 1.1.1.1 de care au avut încredere în CA.

Parsarea certificat pentru https://1.1.1.1 arată că certificatul a face uz de Subiect Nume Alternative (SANs) să cuprindă o serie de adrese IP și obișnuită nume de domeniu:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Această informație este, de asemenea, în Google Chrome Certificat de Vizualizare sub "Detalii" fila:

Acest certificat este valabil pentru toate cele enumerate domeniile (inclusiv wildcard *) și adresele IP.

Deltik
Răspuns editat 12 aprilie 2018 в 1:05
Comentarii (3)
Soluția

Limba engleză este ambiguu. Ai fost parsarea astfel:

(intranet names) or (IP addresses)

adică interzice utilizarea de adrese IP numerice în întregime. Sensul care se potrivește cu ceea ce ai're a vedea este:

intranet (names or IP addresses)

adică interdicția de certificate pentru IP privat variază ca 10.0.0.0/8, 172.16.0.0/12, și 192.168.0.0/16, precum și pentru privată nume care nu't vizibile pe DNS publice.

Certificate pentru public rutabil adresele IP sunt încă acceptate, doar în general, nu este recomandat pentru majoritatea oamenilor, mai ales cei care don't, de asemenea, deține un IP static.

Această declarație este un sfat, nu pretinde că ai poate't asigura o (publice) adresa IP.

în Loc de a asigura adrese IP intranet și numele, ar trebui să reconfigurați servere pentru a utiliza Complet Calificat Nume de Domeniu (Fqdn), cum ar fi www.coolexample.com

Poate cineva de la GoDaddy a fost interpretat greșit textul, dar mult mai probabil au vrut să-și păstreze sfaturi simple, și a vrut să se recomanda folosirea publice DNS nume în certificate.

Cei mai mulți oameni don't folosi un stabil static IP pentru serviciul lor. Furnizarea de servicii DNS este un caz în care o's cu adevărat necesar pentru a avea un grajd bine-cunoscute IP în loc de doar un nume. Pentru oricine altcineva, să-ți pui IP curentă în SSL cert ar limita opțiunile de viitor, pentru că tu nu't lasa pe altcineva începe să utilizați acest IP. Acestea ar putea juca rolul site-ului tău.

Cloudflare.com a de control adresa IP 1.1.1.1 ei înșiși, și nu - 't de planificare pentru a face ceva diferit cu ea în viitorul apropiat, deci, este logic de le a pus lor IP în cert. Mai ales ca un furnizor de DNS-uri, l's mult mai probabil ca HTTPS clienții ar vizita URL-ul lor de număr decât pentru orice alt site.

Peter Cordes
Răspuns editat 14 aprilie 2018 в 9:00
Comentarii (14)

Se pare ca Subiect Certificat Alt Nume include adresa IP:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

În mod tradițional, cred că s-ar fi pus doar DNS Nume aici, dar Cloudflare-am pus Adresele lor IP la fel de bine.

https://1.0.0.1/ este, de asemenea, considerate sigure de către browsere.

Comentarii (5)