Warum hält mein Browser https://1.1.1.1 für sicher?

133

Wenn ich https://1.1.1.1 besuche , betrachtet jeder von mir verwendete Webbrowser die URL als sicher.

Dies zeigt Google Chrome:

In der Adressleiste von Google Chrome 65.0.3325.181 wird https://1.1.1.1 angezeigt

Wenn ich versuche, eine HTTPS-Site über ihre IP-Adresse zu besuchen, erhalte ich normalerweise eine Sicherheitswarnung wie die folgende:

In der Adressleiste von Google Chrome 65.0.3325.181 wird https://192.168.0.2 angezeigt

Nach meinem Verständnis muss das Site-Zertifikat mit der Domain übereinstimmen, aber der Google Chrome Certificate Viewer zeigt Folgendes nicht an 1.1.1.1:

Certificate Viewer: * .cloudflare-dns.com

Knowledgebase-Artikel von GoDaddy "Kann ich ein Zertifikat für einen Intranet-Namen oder eine IP-Adresse anfordern?" sagt:

Nein - Wir akzeptieren keine Zertifikatsanforderungen mehr für Intranet-Namen oder IP-Adressen. Dies ist ein branchenweiter Standard , der für GoDaddy nicht spezifisch ist.

( Hervorhebung von mir)

Und auch:

Als Ergebnis wirksam 1. Oktober 2016 , Zertifizierungsstellen (CAs) müssen SSL - Zertifikate widerrufen , das verwendet Intranet Namen oder IP - Adressen .

( Hervorhebung von mir)

Und:

Anstatt IP-Adressen und Intranetnamen zu sichern , sollten Sie Server so konfigurieren, dass sie Fully Qualified Domain Names (FQDNs) verwenden, z. B. www.coolexample.com .

( Hervorhebung von mir)

Es ist weit nach dem obligatorischen Widerrufsdatum 01. Oktober 2016, aber das Zertifikat für 1.1.1.1wurde am 29. März 2018 ausgestellt (siehe Abbildung oben).


Wie ist es möglich, dass alle gängigen Browser https://1.1.1.1 für eine vertrauenswürdige HTTPS-Website halten?

Deltik
quelle
10
Es ist erwähnenswert, dass es einen großen Unterschied zwischen 192.168.0.2 und 1.1.1.1 gibt. Man 192.168.0.2existiert nicht außerhalb Ihres Intranets. Wenn Sie Ihr eigenes selbstsigniertes Zertifikat erstellt haben, wird 192.168.0.2es als vertrauenswürdig eingestuft, und Sie können denselben Ansatz für das SAN auf einer Domäne wie der folgenden verwenden fake.domain. Wir möchten Sie darauf hinweisen, dass 1.1.1.1es sich nicht um eine reservierte IP-Adresse handelt. Anscheinend hat jede Zertifizierungsstelle das Zertifikat ausgestellt.
Ramhound
12
blog.cloudflare.com/announcing-1111 „Wir sind heute aufgeregt mit dem Start von 1.1.1.1 weiteren Schritt in Richtung dieser Mission zu übernehmen -. des Internets am schnellsten, die Privatsphäre erste Verbraucher DNS - Dienst“
11
Ich denke, Sie klammern den Satz falsch ein. Sie bedeuteten wahrscheinlich, dass SSL-Zertifikate, die das Intranet (Namen oder IP-Adressen) verwenden, gesperrt werden müssen, nicht, dass SSL-Zertifikate, die das Intranet (Namen) oder IP-Adressen verwenden, gesperrt werden müssen.
Maciej Piechotka
1
@MaciejPiechotka ist korrekt, dies bedeutet, "muss SSL-Zertifikate widerrufen, die Intranet-Namen oder Intranet-IP-Adressen verwenden"
Ben
2
Übrigens ... einen zwingenden Widerruf gibt es nicht. Wörtlich hat keine Organisation auf der Erde diese Art von Macht. Das nächste, was Sie bekommen, sind ein paar CAs, die sich einverstanden erklären, etwas zu tun.
CHAO

Antworten:

95

Englisch ist mehrdeutig . Sie haben es folgendermaßen analysiert:

(intranet names) or (IP addresses)

dh verbieten die Verwendung von numerischen IP-Adressen vollständig. Die Bedeutung, die mit dem übereinstimmt, was Sie sehen, ist:

intranet (names or IP addresses)

dh Sperrzertifikate für private IP-Bereiche wie 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie für private Namen, die im öffentlichen DNS nicht sichtbar sind.

Zertifikate für öffentlich routbare IP-Adressen sind weiterhin zulässig, was für die meisten Menschen, insbesondere für diejenigen, die keine statische IP besitzen , im Allgemeinen nicht empfohlen wird.


Diese Aussage ist ein Hinweis und keine Behauptung, dass Sie keine (öffentliche) IP-Adresse sichern können .

Anstatt IP-Adressen und Intranetnamen zu sichern, sollten Sie Server so konfigurieren, dass sie Fully Qualified Domain Names (FQDNs) verwenden, z. B. www.coolexample.com

Vielleicht hat jemand bei GoDaddy den Wortlaut falsch interpretiert, aber wahrscheinlicher war es, dass er seine Ratschläge einfach halten und die Verwendung öffentlicher DNS-Namen in Zertifikaten empfehlen wollte.

Die meisten Benutzer verwenden keine stabile statische IP-Adresse für ihren Dienst. Das Bereitstellen von DNS-Diensten ist der einzige Fall, in dem es wirklich notwendig ist, eine stabile, bekannte IP-Adresse zu haben, anstatt nur einen Namen. Wenn Sie Ihre aktuelle IP-Adresse in Ihr SSL-Zertifikat eintragen, sind Ihre zukünftigen Optionen eingeschränkt, da Sie nicht zulassen können, dass andere Benutzer diese IP-Adresse verwenden. Sie könnten sich als Ihre Website ausgeben.

Cloudflare.com hat die Kontrolle über die 1.1.1.1-IP-Adresse selbst und plant in absehbarer Zeit keine Änderung. Daher ist es sinnvoll, dass sie ihre IP-Adresse in ihr Zertifikat eintragen. Insbesondere als DNS-Anbieter ist es wahrscheinlicher, dass HTTPS-Clients ihre URL nach Nummer aufrufen als für jede andere Site.

Peter Cordes
quelle
5
Dies beantwortet genau, warum ich verwirrt war. Ich habe GoDaddy einen Vorschlag geschickt, um den Wortlaut des Artikels zu verbessern . Hoffentlich wird es behoben, um "(interner Servername) oder (reservierte IP-Adresse)" zu klären, wie im CAB-Forum dokumentiert .
Deltik
14
Pedantisch, Cloudflare nicht „besitzen“ die 1.1.1.1 - Adresse. Es gehört APNIC Labs , die Cloudflare die Erlaubnis erteilt haben, dort einen DNS-Resolver zu betreiben, um Cloudflare dabei zu unterstützen, die große Menge von Müllpaketen zu untersuchen, die fälschlicherweise an diese IP adressiert sind .
Kevin
12
Pedantischerweise, @ Kevin, besitzt APNIC es auch nicht. In diesem Artikel wird die Eigentumsfrage erwähnt und der Ausdruck "Zugewiesen an" verwendet. IANA, ein Teil von ICANN, hat den Adressbereich APNIC zugewiesen, der Cloudflare solche Adressen zugeteilt hat. IPv4-Adressen sind einfach eine ausgefallene Art, eine Nummer von 0-4294967296 zu schreiben (wenn Sie in vielen Betriebssystemen 16843009 anpingen, erhalten Sie eine Antwort von 1.1.1.1), und die USA erkennen nicht, dass sie eine Nummer besitzen (daher) warum der Name "Pentium" gemacht wurde)
TOOGAM
5
Die Intel-Sache war ein Fall von Marke, nicht Eigentum ...
StarWeaver
3
@TOOGAM: Ich meine, dass in dem whois-System, das ich speziell verlinkt habe, 1.1.1.1 APNIC Labs zugewiesen ist. Wenn Sie zwischen Zuweisung und Inhaberschaft wählen, dürfen Sie die Bedeutung von "Zuweisung" nicht verdrehen.
Kevin
102

Die GoDaddy-Dokumentation ist falsch. Es ist nicht wahr, dass Zertifizierungsstellen Zertifikate für alle IP-Adressen widerrufen müssen… nur reservierte IP-Adressen .

Quelle: https://cabforum.org/internal-names/

Die Zertifizierungsstelle für https://1.1.1.1 war DigiCert , mit der zum Zeitpunkt der Erstellung dieser Antwort Site-Zertifikate für öffentliche IP-Adressen erworben werden können.

DigiCert hat einen Artikel über diese Ausgabe des internen Servernamens für SSL-Zertifikate nach 2015 veröffentlicht :

Wenn Sie als Serveradministrator interne Namen verwenden, müssen Sie diese Server entweder für die Verwendung eines öffentlichen Namens neu konfigurieren oder zu einem Zertifikat wechseln, das von einer internen Zertifizierungsstelle vor dem Stichtag 2015 ausgestellt wurde. Alle internen Verbindungen, die ein öffentlich vertrauenswürdiges Zertifikat erfordern, müssen über öffentliche und überprüfbare Namen hergestellt werden (es spielt keine Rolle, ob diese Dienste öffentlich zugänglich sind).

( Hervorhebung von mir)

Cloudflare hat 1.1.1.1von dieser vertrauenswürdigen Zertifizierungsstelle lediglich ein Zertifikat für seine IP-Adresse erhalten.

Das Parsen des Zertifikats für https://1.1.1.1 zeigt, dass das Zertifikat Subject Alternative Names (SANs) verwendet, um einige IP-Adressen und gewöhnliche Domänennamen zu umfassen:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Diese Informationen finden Sie auch im Google Chrome Certificate Viewer auf der Registerkarte "Details":

Certificate Viewer: Details: * .cloudflare-dns.com

Dieses Zertifikat gilt für alle aufgelisteten Domänen (einschließlich Platzhalter *) und IP-Adressen.

Deltik
quelle
Ihr Artikel-Link scheint nicht zu funktionieren. Am besten zitieren Sie die relevanten Informationen.
Ramhound
11
Ich denke, es ist nicht so sehr falsch als irreführend. Es sollte in eckige Klammern gesetzt werden, da SSL-Zertifikate, die das Intranet (Namen oder IP-Adressen) verwenden, nicht gesperrt werden müssen und SSL-Zertifikate, die das Intranet (Namen) oder IP-Adressen verwenden, nicht gesperrt werden müssen.
Maciej Piechotka
3
Nun, es tut sagen „Intranet - Namen oder IP - Adressen“. Intranetnamen oder Intranet-IP-Adressen. Es ist nicht falsch, es ist nur das OP, das es nur selektiv liest.
Leichtigkeitsrennen im Orbit
45

Es sieht so aus, als ob der alternative Name des Zertifikatsbetreffs die IP-Adresse enthält:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Normalerweise hätten Sie hier wohl nur DNS-Namen eingetragen, aber Cloudflare hat auch deren IP-Adressen eingetragen.

https://1.0.0.1/ wird auch von Browsern als sicher angesehen.

Michael Frank
quelle
1
Ich verstehe nicht, wie dies die Frage beantwortet. Das Posten des Inhalts eines Zertifikats erklärt nicht, warum ein solches Zertifikat geliefert werden könnte.
Dmitry Grigoryev
18
@DmitryGrigoryev: Aber es beweist, dass ein solches Zertifikat ausgestellt wurde , was ein Hauptverwechslungspunkt in der Frage war (das OP konnte 1.1.1.1 nicht finden, das im Zertifikat aufgeführt ist)
Lightness Races in Orbit
3
Diese Antwort beantwortet tatsächlich die Frage des Autors. Während der Autor im Hinblick auf ihre Verwirrung näher einging, ist dies ein Indiz für die Tatsache, dass das fragliche Zertifikat tatsächlich gültig ist. Da der Autor der Frage uns nie zur Verfügung gestellt hat, was GoDaddy tatsächlich gesagt hat, ist es schwierig, die Frage mit irgendetwas anderem zu beantworten.
Ramhound
4
@DmitryGrigoryev - Wenn die Frage lautet "Warum glaubt mein Browser, dass 1.1.1.1 sicher ist?" (der Titel dieser Seite) oder "Wie ist es möglich, dass alle gängigen Browser der Meinung sind, dass 1.1.1.1 eine vertrauenswürdige HTTPS-Website ist?" (die einzige tatsächliche Frage innerhalb des Körpers), dann beantwortet "weil 1.1.1.1 als SAN im Zertifikat aufgeführt ist" diese Frage eindeutig.
Dave Sherohman
@DmitryGrigoryev " erklärt nicht, warum ein solches Zertifikat geliefert werden könnte ", dann ist die Frage unklar, da sie nicht einmal die vollständigen Zertifikatinformationen enthält und weder eine technische Frage zur TLS-Implementierung in Browsern noch eine Richtlinienfrage ist über CA, aber eine Mischung aus beiden
curiousguy