Warum hält mein Browser https://1.1.1.1 für sicher?

Wenn ich https://1.1.1.1 besuche , betrachtet jeder von mir verwendete Webbrowser die URL als sicher.

Dies zeigt Google Chrome:

Wenn ich versuche, eine HTTPS-Site über ihre IP-Adresse zu besuchen, erhalte ich normalerweise eine Sicherheitswarnung wie die folgende:

Nach meinem Verständnis muss das Site-Zertifikat mit der Domain übereinstimmen, aber der Google Chrome Certificate Viewer zeigt Folgendes nicht an 1.1.1.1:

Knowledgebase-Artikel von GoDaddy "Kann ich ein Zertifikat für einen Intranet-Namen oder eine IP-Adresse anfordern?" sagt:

Nein - Wir akzeptieren keine Zertifikatsanforderungen mehr für Intranet-Namen oder IP-Adressen. Dies ist ein branchenweiter Standard , der für GoDaddy nicht spezifisch ist.

^{_{( Hervorhebung von mir)}}

Und auch:

Als Ergebnis wirksam 1. Oktober 2016 , Zertifizierungsstellen (CAs) müssen SSL - Zertifikate widerrufen , das verwendet Intranet Namen oder IP - Adressen .

^{_{( Hervorhebung von mir)}}

Und:

Anstatt IP-Adressen und Intranetnamen zu sichern , sollten Sie Server so konfigurieren, dass sie Fully Qualified Domain Names (FQDNs) verwenden, z. B. www.coolexample.com .

^{_{( Hervorhebung von mir)}}

Es ist weit nach dem obligatorischen Widerrufsdatum 01. Oktober 2016, aber das Zertifikat für 1.1.1.1wurde am 29. März 2018 ausgestellt (siehe Abbildung oben).

Wie ist es möglich, dass alle gängigen Browser https://1.1.1.1 für eine vertrauenswürdige HTTPS-Website halten?

Englisch ist mehrdeutig . Sie haben es folgendermaßen analysiert:

(intranet names) or (IP addresses)

dh verbieten die Verwendung von numerischen IP-Adressen vollständig. Die Bedeutung, die mit dem übereinstimmt, was Sie sehen, ist:

intranet (names or IP addresses)

dh Sperrzertifikate für private IP-Bereiche wie 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie für private Namen, die im öffentlichen DNS nicht sichtbar sind.

Zertifikate für öffentlich routbare IP-Adressen sind weiterhin zulässig, was für die meisten Menschen, insbesondere für diejenigen, die keine statische IP besitzen , im Allgemeinen nicht empfohlen wird.

Diese Aussage ist ein Hinweis und keine Behauptung, dass Sie keine (öffentliche) IP-Adresse sichern können .

Anstatt IP-Adressen und Intranetnamen zu sichern, sollten Sie Server so konfigurieren, dass sie Fully Qualified Domain Names (FQDNs) verwenden, z. B. www.coolexample.com

Vielleicht hat jemand bei GoDaddy den Wortlaut falsch interpretiert, aber wahrscheinlicher war es, dass er seine Ratschläge einfach halten und die Verwendung öffentlicher DNS-Namen in Zertifikaten empfehlen wollte.

Die meisten Benutzer verwenden keine stabile statische IP-Adresse für ihren Dienst. Das Bereitstellen von DNS-Diensten ist der einzige Fall, in dem es wirklich notwendig ist, eine stabile, bekannte IP-Adresse zu haben, anstatt nur einen Namen. Wenn Sie Ihre aktuelle IP-Adresse in Ihr SSL-Zertifikat eintragen, sind Ihre zukünftigen Optionen eingeschränkt, da Sie nicht zulassen können, dass andere Benutzer diese IP-Adresse verwenden. Sie könnten sich als Ihre Website ausgeben.

Cloudflare.com hat die Kontrolle über die 1.1.1.1-IP-Adresse selbst und plant in absehbarer Zeit keine Änderung. Daher ist es sinnvoll, dass sie ihre IP-Adresse in ihr Zertifikat eintragen. Insbesondere als DNS-Anbieter ist es wahrscheinlicher, dass HTTPS-Clients ihre URL nach Nummer aufrufen als für jede andere Site.

Die GoDaddy-Dokumentation ist falsch. Es ist nicht wahr, dass Zertifizierungsstellen Zertifikate für alle IP-Adressen widerrufen müssen… nur reservierte IP-Adressen .

^{_{Quelle: https://cabforum.org/internal-names/}}

Die Zertifizierungsstelle für https://1.1.1.1 war DigiCert , mit der zum Zeitpunkt der Erstellung dieser Antwort Site-Zertifikate für öffentliche IP-Adressen erworben werden können.

DigiCert hat einen Artikel über diese Ausgabe des internen Servernamens für SSL-Zertifikate nach 2015 veröffentlicht :

Wenn Sie als Serveradministrator interne Namen verwenden, müssen Sie diese Server entweder für die Verwendung eines öffentlichen Namens neu konfigurieren oder zu einem Zertifikat wechseln, das von einer internen Zertifizierungsstelle vor dem Stichtag 2015 ausgestellt wurde. Alle internen Verbindungen, die ein öffentlich vertrauenswürdiges Zertifikat erfordern, müssen über öffentliche und überprüfbare Namen hergestellt werden (es spielt keine Rolle, ob diese Dienste öffentlich zugänglich sind).

^{_{( Hervorhebung von mir)}}

Cloudflare hat 1.1.1.1von dieser vertrauenswürdigen Zertifizierungsstelle lediglich ein Zertifikat für seine IP-Adresse erhalten.

Das Parsen des Zertifikats für https://1.1.1.1 zeigt, dass das Zertifikat Subject Alternative Names (SANs) verwendet, um einige IP-Adressen und gewöhnliche Domänennamen zu umfassen:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Diese Informationen finden Sie auch im Google Chrome Certificate Viewer auf der Registerkarte "Details":

Dieses Zertifikat gilt für alle aufgelisteten Domänen (einschließlich Platzhalter *) und IP-Adressen.

Es sieht so aus, als ob der alternative Name des Zertifikatsbetreffs die IP-Adresse enthält:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Normalerweise hätten Sie hier wohl nur DNS-Namen eingetragen, aber Cloudflare hat auch deren IP-Adressen eingetragen.

https://1.0.0.1/ wird auch von Browsern als sicher angesehen.