Wenn ich https://1.1.1.1 besuche , betrachtet jeder von mir verwendete Webbrowser die URL als sicher.
Dies zeigt Google Chrome:
Wenn ich versuche, eine HTTPS-Site über ihre IP-Adresse zu besuchen, erhalte ich normalerweise eine Sicherheitswarnung wie die folgende:
Nach meinem Verständnis muss das Site-Zertifikat mit der Domain übereinstimmen, aber der Google Chrome Certificate Viewer zeigt Folgendes nicht an 1.1.1.1
:
Nein - Wir akzeptieren keine Zertifikatsanforderungen mehr für Intranet-Namen oder IP-Adressen. Dies ist ein branchenweiter Standard , der für GoDaddy nicht spezifisch ist.
( Hervorhebung von mir)
Und auch:
Als Ergebnis wirksam 1. Oktober 2016 , Zertifizierungsstellen (CAs) müssen SSL - Zertifikate widerrufen , das verwendet Intranet Namen oder IP - Adressen .
( Hervorhebung von mir)
Und:
Anstatt IP-Adressen und Intranetnamen zu sichern , sollten Sie Server so konfigurieren, dass sie Fully Qualified Domain Names (FQDNs) verwenden, z. B. www.coolexample.com .
( Hervorhebung von mir)
Es ist weit nach dem obligatorischen Widerrufsdatum 01. Oktober 2016, aber das Zertifikat für 1.1.1.1
wurde am 29. März 2018 ausgestellt (siehe Abbildung oben).
Wie ist es möglich, dass alle gängigen Browser https://1.1.1.1 für eine vertrauenswürdige HTTPS-Website halten?
192.168.0.2
existiert nicht außerhalb Ihres Intranets. Wenn Sie Ihr eigenes selbstsigniertes Zertifikat erstellt haben, wird192.168.0.2
es als vertrauenswürdig eingestuft, und Sie können denselben Ansatz für das SAN auf einer Domäne wie der folgenden verwendenfake.domain
. Wir möchten Sie darauf hinweisen, dass1.1.1.1
es sich nicht um eine reservierte IP-Adresse handelt. Anscheinend hat jede Zertifizierungsstelle das Zertifikat ausgestellt.Antworten:
Englisch ist mehrdeutig . Sie haben es folgendermaßen analysiert:
dh verbieten die Verwendung von numerischen IP-Adressen vollständig. Die Bedeutung, die mit dem übereinstimmt, was Sie sehen, ist:
dh Sperrzertifikate für private IP-Bereiche wie 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie für private Namen, die im öffentlichen DNS nicht sichtbar sind.
Zertifikate für öffentlich routbare IP-Adressen sind weiterhin zulässig, was für die meisten Menschen, insbesondere für diejenigen, die keine statische IP besitzen , im Allgemeinen nicht empfohlen wird.
Diese Aussage ist ein Hinweis und keine Behauptung, dass Sie keine (öffentliche) IP-Adresse sichern können .
Vielleicht hat jemand bei GoDaddy den Wortlaut falsch interpretiert, aber wahrscheinlicher war es, dass er seine Ratschläge einfach halten und die Verwendung öffentlicher DNS-Namen in Zertifikaten empfehlen wollte.
Die meisten Benutzer verwenden keine stabile statische IP-Adresse für ihren Dienst. Das Bereitstellen von DNS-Diensten ist der einzige Fall, in dem es wirklich notwendig ist, eine stabile, bekannte IP-Adresse zu haben, anstatt nur einen Namen. Wenn Sie Ihre aktuelle IP-Adresse in Ihr SSL-Zertifikat eintragen, sind Ihre zukünftigen Optionen eingeschränkt, da Sie nicht zulassen können, dass andere Benutzer diese IP-Adresse verwenden. Sie könnten sich als Ihre Website ausgeben.
Cloudflare.com hat die Kontrolle über die 1.1.1.1-IP-Adresse selbst und plant in absehbarer Zeit keine Änderung. Daher ist es sinnvoll, dass sie ihre IP-Adresse in ihr Zertifikat eintragen. Insbesondere als DNS-Anbieter ist es wahrscheinlicher, dass HTTPS-Clients ihre URL nach Nummer aufrufen als für jede andere Site.
quelle
Die GoDaddy-Dokumentation ist falsch. Es ist nicht wahr, dass Zertifizierungsstellen Zertifikate für alle IP-Adressen widerrufen müssen… nur reservierte IP-Adressen .
Quelle: https://cabforum.org/internal-names/
Die Zertifizierungsstelle für https://1.1.1.1 war DigiCert , mit der zum Zeitpunkt der Erstellung dieser Antwort Site-Zertifikate für öffentliche IP-Adressen erworben werden können.
DigiCert hat einen Artikel über diese Ausgabe des internen Servernamens für SSL-Zertifikate nach 2015 veröffentlicht :
( Hervorhebung von mir)
Cloudflare hat
1.1.1.1
von dieser vertrauenswürdigen Zertifizierungsstelle lediglich ein Zertifikat für seine IP-Adresse erhalten.Das Parsen des Zertifikats für https://1.1.1.1 zeigt, dass das Zertifikat Subject Alternative Names (SANs) verwendet, um einige IP-Adressen und gewöhnliche Domänennamen zu umfassen:
Diese Informationen finden Sie auch im Google Chrome Certificate Viewer auf der Registerkarte "Details":
Dieses Zertifikat gilt für alle aufgelisteten Domänen (einschließlich Platzhalter
*
) und IP-Adressen.quelle
Es sieht so aus, als ob der alternative Name des Zertifikatsbetreffs die IP-Adresse enthält:
Normalerweise hätten Sie hier wohl nur DNS-Namen eingetragen, aber Cloudflare hat auch deren IP-Adressen eingetragen.
https://1.0.0.1/ wird auch von Browsern als sicher angesehen.
quelle