Вопрос: Почему мой браузер считает, что https://1.1.1.1 безопасен?


Когда я навещаю https://1.1.1.1, любой браузер, который я использую, считает URL-адрес безопасным.

Это показывает Google Chrome:

Google Chrome 65.0.3325.181 address bar showing https://1.1.1.1

Обычно, когда я пытаюсь посетить сайт HTTPS через его IP-адрес, я получаю предупреждение о безопасности следующим образом:

Google Chrome 65.0.3325.181 address bar showing https://192.168.0.2

По моему мнению, сертификат сайта должен соответствовать домену, но средство просмотра сертификатов Google Chrome не показывает 1.1.1.1:

Certificate Viewer: *.cloudflare-dns.com

Статья базы знаний GoDaddy «Могу ли я запросить сертификат для имени или IP-адреса интрасети?» говорит:

Нет - мы больше не принимаем запросы сертификатов для имен интрасети или IP-адресов. Это общеотраслевой стандарт, а не только для GoDaddy.

(акцент мой)

А также:

В результате, с 1 октября 2016 года, Сертификационные органы (ЦС) должны аннулировать SSL-сертификаты, которые используют имена интрасети или IP-адреса,

(акцент мой)

А также:

Вместо защиты IP-адресов и имена интрасети, вы должны перенастроить серверы для использования Полностью квалифицированных доменных имен (FQDN), таких как www.coolexample.com,

(акцент мой)

Это хорошо после даты обязательного отзыва 01 октября 2016 года, но сертификат для 1.1.1.1 был выпущен 29 марта 2018 года (показан на скриншоте выше).


Как возможно, что все основные браузеры считают, что https://1.1.1.1 является надежным веб-сайтом HTTPS?


127
2018-04-12 04:05


Источник


Стоит отметить, что существует огромная разница между 192.168.0.2 и 1.1.1.1. Один 192.168.0.2 не существует вне вашей интрасети. Если вы создали свой собственный самозаверяющий сертификат 192.168.0.2 было бы доверено, и вы могли бы использовать тот же подход для SAN, как домен fake.domain, Стоит отметить, что 1.1.1.1 не является зарезервированным IP-адресом, поэтому он появляется, любой CA выдал бы сертификат. - Ramhound
blog.cloudflare.com/announcing-1111 «Мы рады сегодня сделать еще один шаг на пути к этой миссии с запуском 1.1.1.1 - самой быстрой и надежной интернет-службы DNS для обеспечения конфиденциальности в Интернете». - DoritoStyle
Я думаю, что вы скопируете предложение неправильно. Вероятно, они означали «должны аннулировать SSL-сертификаты, которые используют интрасеть (имена или IP-адреса)« не », должны аннулировать SSL-сертификаты, которые используют (имена интрасети) или IP-адреса». - Maciej Piechotka
@MaciejPiechotka верна, это означает, что «необходимо аннулировать SSL-сертификаты, которые используют имена интрасети или IP-адреса интрасети» - Ben
Кстати ... нет такой вещи, как обязательный аннулирование. Буквально ни одна организация на Земле не обладает такой силой. Самое близкое, что вы получаете, это куча ЦС, соглашающаяся что-то сделать. - cHao


Ответы:


Английский двусмысленный, Вы разбирали его так:

(intranet names) or (IP addresses)

т. е. полностью запретить использование числовых IP-адресов. Значение, которое соответствует тому, что вы видите:

intranet (names or IP addresses)

то есть запретить сертификаты для частные диапазоны IP-адресов например 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16, а также для частных имен, которые не отображаются в общедоступном DNS.

Сертификаты для общедоступных IP-адресов по-прежнему разрешены, как правило, не рекомендуется большинству людей, особенно тем, у кого нет также статического IP-адреса.


Это утверждение является советом, а не заявлением о том, что вы не может безопасный (общедоступный) IP-адрес.

Вместо того, чтобы защищать IP-адреса и имена интрасети, вы должны перенастроить серверы для использования Полностью квалифицированных доменных имен (FQDN), таких как www.coolexample.com

Возможно, кто-то из GoDaddy неправильно истолковал формулировку, но, скорее всего, они хотели, чтобы их советы были простыми и хотели рекомендовать использовать общедоступные DNS-имена в сертификатах.

Большинство людей не используют стабильный статический IP-адрес для своего обслуживания. Предоставление услуг DNS - это тот случай, когда действительно необходимо иметь стабильный известный IP-адрес вместо имени. Для кого-либо другого ваш IP-адрес в вашем сертификате SSL будет ограничивать ваши будущие параметры, потому что вы не могли позволить кому-то начать использовать этот IP-адрес. Они могут олицетворять ваш сайт.

Cloudflare.com имеет контроль над сам IP-адрес 1.1.1.1, и в обозримом будущем не планирует делать что-либо по-другому с ним, поэтому имеет смысл для них поставить свой IP-адрес в свой сертификат. Особенно как поставщик DNS, более вероятно, что клиенты HTTPS будут посещать их URL по номеру, чем для любого другого сайта.


89
2018-04-12 23:17



Это точно отвечает за то, почему я был в замешательстве. Я послал предложение GoDaddy, чтобы улучшить формулировку статья, Надеюсь, они исправят это, чтобы уточнить «(имя внутреннего сервера) или (зарезервированный IP-адрес)», как указано на форуме CAB, - Deltik
Педантично, Cloudflare не «собственный» адрес 1.1.1.1. это принадлежащих APNIC Labs, который дал Cloudflare разрешение на работу с DNS-резольвером там в обмен на помощь Cloudflare в изучении большого объема пакетов мусора, которые ошибочно адресованы этому IP-адресу, - Kevin
Педантично, @Kevin, APNIC тоже не принадлежит. Эта статья упоминает вопрос о собственности и использует фразу «выделено». IANA, входящая в ICANN, выделила адресный диапазон для APNIC, который предоставил такие адреса Cloudflare. Адреса IPv4 - это просто причудливый способ записи числа от 0-4294967296 (если вы ping 16843009 во многих операционных системах, то вы обнаружите, что получите ответ от 1.1.1.1), и США не признают, что владеют номером (следовательно, почему было названо «Pentium») - TOOGAM
В Intel было дело с товарным знаком, а не с владением ... - StarWeaver
@TOOGAM: Я имею в виду, что в системе whois, которую я специально связывал, 1.1.1.1 выделяется APNIC Labs. Если вы собираетесь выбрать nits о распределении по сравнению с собственностью, не перекручивайте значение «выделено». - Kevin


Документация GoDaddy ошибочна. Неверно, что сертификационные центры (CA) должны отменить сертификаты для всех IP-адресов ... только зарезервированные IP-адреса,

Источник: https://cabforum.org/internal-names/

ЦС для https://1.1.1.1 был DigiCert, который на момент написания этого ответа позволяет покупать сертификаты сайтов для публичных IP-адресов.

У DigiCert есть статья об этом Выдача сертификата SSL-сертификата внутреннего сервера после 2015 года:

Если вы являетесь администратором сервера, используя внутренние имена, вам необходимо либо перенастроить эти серверы на использование общедоступного имени, либо переключиться на сертификат, выданный внутренним ЦС до даты отсечения 2015 года. Все внутренние подключения, требующие публично-доверенного сертификата, должны выполняться с помощью имен, которые публичный и поддающийся проверке (неважно, являются ли эти услуги общедоступными).

(акцент мой)

Cloudflare просто получил сертификат на свой IP-адрес 1.1.1.1 от этого доверенного ЦС.

Разбор сертификата для https://1.1.1.1 что сертификат использует альтернативные имена объектов (SAN) для включения некоторых IP-адресов и обычных доменных имен:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Эта информация также находится в средстве просмотра сертификатов Google Chrome на вкладке «Сведения»:

Certificate Viewer: Details: *.cloudflare-dns.com

Этот сертификат действителен для всех перечисленных доменов (включая шаблон *) и IP-адреса.


98
2018-04-12 04:41



Ссылка на вашу статью не работает. Лучше всего процитировать соответствующую информацию. - Ramhound
Я думаю, что это не ошибается, как вводящий в заблуждение. Он должен быть скобке как «должен отменять SSL-сертификаты, которые используют интрасеть (имена или IP-адреса)« не », должны отменять сертификаты SSL, которые используют (имена интрасети) или IP-адреса». - Maciej Piechotka
Ну, это делает «имена интрасети или IP-адреса». Интранет-имена или IP-адреса интрасети. Это не так, просто OP только выборочно читает его. - Lightness Races in Orbit


Похож на объект сертификата. Alt Name включает IP-адрес:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Традиционно, я думаю, вы бы только поместили DNS-имена здесь, но Cloudflare также разместили свои IP-адреса.

https://1.0.0.1/ также считается защищенным браузерами.


43
2018-04-12 04:22



Я не понимаю, как это отвечает на вопрос. Проводка содержимого сертификата не объясняет, почему такой сертификат может быть доставлен. - Dmitry Grigoryev
@DmitryGrigoryev: Но это доказывает, что такой сертификат был поставленный, что было главной путаницей в вопросе (ОП не смог найти 1.1.1.1, перечисленные в сертификате) - Lightness Races in Orbit
Этот ответ действительно отвечает на вопрос автора. Хотя автор более подробно рассмотрел их путаницу, это указывает на факт, данный сертификат действительно действителен. Поскольку автор вопроса никогда не предоставлял нам то, что действительно сказал GoDaddy, сложно ответить на любой вопрос. - Ramhound
@DmitryGrigoryev - Если вопрос: «Почему мой браузер думает, что 1.1.1.1 безопасно? »(название этой страницы) или« Как возможно, что все основные браузеры считают, что 1.1.1.1 является надежным веб-сайтом HTTPS? »(единственный актуальный вопрос в теле), тогда« потому что 1.1.1.1 указан как SAN в сертификате »четко отвечает на этот вопрос. - Dave Sherohman
@DmitryGrigoryev "не объясняет, почему такой сертификат может быть доставлен«тогда вопрос неясен, так как он даже не содержит полную информацию о сертификате и не является однозначным либо техническим вопросом о реализации TLS в браузерах, либо политическим вопросом о ЦС, но сочетание обоих - curiousguy