Почему мой браузер думает, что https://1.1.1.1 -это безопасно?

Когда я посещаю https://1.1.1.1, любого веб-браузера я использую считает, URL-адрес, чтобы быть защищенным.

Это то, что Гугл Хром показывает:

Обычно, когда я пытаюсь посетить сайт https через его IP-адрес, я получаю предупреждение, как это:

Я так понимаю, что сертификат сайта должен соответствовать домен, но зритель сертификат Google хром не показывает 1.1.1.1:

Компания GoDaddy'статья я с знаний&; могу ли я запросить паспорт на имя интрасети или IP address?" говорит:

нет - мы больше не принимаем запросы на сертификаты для имен интрасети или IP-адресов. Это отраслевой стандарт, а не только в GoDaddy.

<суп><суб>(внимание мое)</суб></SUP и ГТ;

А также:

в результате предложение действует с 1 октября 2016 года, центров сертификации (ЦС) должны отозвать SSL-сертификаты, использующие имена интрасети или IP-адреса.

<суп><суб>(внимание мое)</суб></SUP и ГТ;

И:

вместо защиты IP адресов и имена интрасети, вы должны перенастроить сервера, чтобы использовать полные доменные имена (FQDN), например www.coolexample.com.

<суп><суб>(внимание мое)</суб></SUP и ГТ;

Это'ы и после обязательной Дата отзыва 01 октября 2016 года, но сертификат для 1.1.1.1 был выпущен 29 марта 2018 года (см. скриншот выше).

Как это возможно, что все основные браузеры, думаю, что https://1.1.1.1 доверенный сайт https?

Deltik
Редактировал вопрос 12-го апреля 2018 в 1:01
Компьютеры
https web browser security ssl-certificate
12-го апреля 2018 в 4:05
42 просмотров
Комментарии к вопросу (11)

Документация GoDaddy является ошибочным. Это неправда, что центры сертификации (ЦС) должен аннулировать сертификаты для всех IP-адресов... просто зарезервированные IP-адреса.

<суп><суб>источник: https://cabforum.org/internal-names/

ЦС для https://1.1.1.1 был компания DigiCert, который на момент написания этого ответа, не позволяют покупать сертификаты сайта для публичного IP-адреса.

Компания DigiCert есть статья об этом под названием внутреннее имя сервера выдачи сертификатов SSL после 2015 года:

если вы-администратор сервера, используя внутренние имена, нужно либо перенастроить эти серверы, чтобы использовать имя, или переключиться на сертификат, выданный внутренним центром сертификации до 2015 даты отсечки. Все внутренние соединения, которые требуют публично-доверенный сертификат должен осуществляться через имена, которые являются: *государственные и проверке** (это не важно, если эти услуги являются общедоступными).

<суп><суб>(внимание мое)</суб></SUP и ГТ;

Компания Cloudflare просто получил сертификат на их IP-адрес 1.1.1.1 от доверенного центра сертификации.

Разбор сертификатов для https://1.1.1.1 показывает, что сертификат делает использование альтернативных имен субъектов (San), чтобы охватить некоторые IP-адреса и простых доменных имен:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Эта информация также в Google хром сертификата просмотра Под на "Подробности" на вкладке:

Этот сертификат действителен для всех перечисленных областей (в том числе подстановки *) и IP-адресов.

Deltik
Редактировал ответ 12-го апреля 2018 в 1:05
Комментарии (3)
Решение

Английский неоднозначно. Вы парсили это так:

(intranet names) or (IP addresses)

т. е. запретить использовать числовые IP-адреса целиком. Тот смысл, который соответствует тому, что вы'вновь увидев это:

intranet (names or IP addresses)

т. е. сертификаты бан на частные диапазоны IP-адресов, Как 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16, а также для частных лиц, которые еще'т видны на публичные DNS.

Сертификаты на публично маршрутизируемые IP-адреса по-прежнему разрешено, просто не рекомендуются для большинства людей, особенно тех, кто не'т также иметь статический IP.

Это заявление-это совет, а не утверждать, что вы можете'т безопасности (публичных) IP-адрес.

вместо защиты IP-адресов и имен интрасети, вы должны перенастроить сервера, чтобы использовать полные доменные имена (FQDN), например www.coolexample.com

Возможно, кто-то в GoDaddy был неправильно истолковал формулировку, но более вероятно, они хотели сохранить их советы простые, и хотел рекомендовать использование общедоступных DNS-имен в сертификатах.

Большинство людей Дон'т использовать стабильный статический IP для их обслуживания. Предоставление услуг DNS-это тот самый случай, когда он's по-настоящему необходимо иметь стабильный известный IP, а не только название. Для кого-то, поставив свой текущий IP в свой SSL-сертификат будет ограничить ваши будущие возможности, потому что вы не'т пусть кто-нибудь запустить через этот IP. Они могут имитировать ваш сайт.

Cloudflare.com управлять в 1.1.1.1 IP-адрес себя, и это'т планируют сделать ничего с этим в обозримом будущем, поэтому есть смысл для них чтобы поставить их IP в их совершенство. Особенности в качестве провайдера DNS, это's более вероятно, что клиентов https посетил бы их URL-адрес по номеру, чем для любого другого сайта.

Peter Cordes
Редактировал ответ 14-го апреля 2018 в 9:00
Комментарии (14)

Похоже, что имя субъекта сертификата АЛТ включает IP-адрес:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Традиционно я думаю, вам бы только поставить DNS-имена здесь, но на Cloudflare поставили свои IP-адреса, а также.

https://1.0.0.1/ также считаются безопасными браузерами.

Комментарии (5)