なぜブラウザは https://1.1.1.1 が安全であると判断するのでしょうか?

tag-icon tag-icon security browser https web ssl-certificate
なぜブラウザは https://1.1.1.1 が安全であると判断するのでしょうか?

訪問するとhttps://1.1.1.1私が使用するどの Web ブラウザでも、URL は安全であるとみなされます。

Google Chrome では次のように表示されます:

Google Chrome 65.0.3325.181 のアドレスバーに https://1.1.1.1 が表示される

通常、IP アドレス経由で HTTPS サイトにアクセスしようとすると、次のようなセキュリティ警告が表示されます。

Google Chrome 65.0.3325.181 のアドレスバーに https://192.168.0.2 が表示される

私の理解では、サイト証明書はドメインと一致する必要がありますが、Google Chrome 証明書ビューアには表示されません1.1.1.1

証明書ビューア: *.cloudflare-dns.com

GoDaddy のナレッジベースの記事「イントラネット名または IP アドレスの証明書をリクエストできますか?」言う:

いいえ。イントラネット名または IP アドレスの証明書要求は受け付けなくなりました。これは業界標準ですGoDaddy に固有のものではありません。

強調私の)

さらに:

結果として、2016年10月1日より発効、認証局(CA)使用するSSL証明書を失効させる必要があるイントラネット名またはIPアドレス

強調私の)

そして:

IPアドレスを保護する代わりにイントラネット名を使用する場合は、サーバーを再構成して、次のような完全修飾ドメイン名 (FQDN) を使用する必要があります。出典:

強調私の)

2016 年 10 月 1 日の強制失効日を過ぎていますが、証明書は1.1.1.12018 年 3 月 29 日に発行されています (上記のスクリーンショットを参照)。

全ての主要ブラウザがなぜそう考えるのかhttps://1.1.1.1信頼できる HTTPS ウェブサイトですか?

答え1

英語は曖昧だ次のように解析していました:

(intranet names) or (IP addresses)

つまり、数値 IP アドレスの使用を完全に禁止します。表示されている内容と一致する意味は次のとおりです。

intranet (names or IP addresses)

つまり、プライベートIP範囲10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 などのホスト名や、パブリック DNS に表示されないプライベート名にも使用されます。

パブリックにルーティング可能なIPアドレスの証明書は引き続き許可されますが、ただし、ほとんどの人、特に静的 IP を所有していない人には一般的には推奨されません。

この声明はアドバイスであり、あなたができない(パブリック) IP アドレスを確保します。

IPアドレスとイントラネット名を保護する代わりに、www.coolexample.comなどの完全修飾ドメイン名(FQDN)を使用するようにサーバーを再構成する必要があります。

おそらく GoDaddy の誰かが文言を誤解していたのでしょうが、彼らはアドバイスをシンプルに保ち、証明書にパブリック DNS 名を使用することを推奨したかったのだと思います。

ほとんどの人は、サービスに安定した静的 IP を使用しません。DNS サービスを提供する場合は、単なる名前ではなく、安定したよく知られた IP が本当に必要です。 それ以外の人にとっては、現在の IP を SSL 証明書に入力すると、他の誰かがその IP を使い始めることを許可できないため、将来の選択肢が制限されます。その人があなたのサイトになりすます可能性があります。

クラウドフレア制御している1.1.1.1 IPアドレスを自分で使用しており、近い将来にそれを変更する予定はないので、理にかなっています彼らのために証明書にIPアドレスを入力する。特にDNSプロバイダーとして、HTTPS クライアントが他のサイトよりも番号で URL にアクセスする可能性が高くなります。

答え2

GoDaddy のドキュメントは誤りです。認証局 (CA) がすべての IP アドレスの証明書を取り消さなければならないというのは真実ではありません…予約済みのIPアドレスのみ

ソース:https://cabforum.org/内部名/

CAのhttps://1.1.1.1だったデジサートこの回答を書いている時点では、パブリック IP アドレスのサイト証明書を購入することは許可されています。

DigiCertにはこれに関する記事があります。内部サーバー名 SSL 証明書の発行 2015 年以降:

内部名を使用しているサーバー管理者の場合は、それらのサーバーをパブリック名を使用するように再設定するか、2015年の期限までに内部CAが発行した証明書に切り替える必要があります。公的に信頼された証明書を必要とするすべての内部接続は、公開され検証可能な(それらのサービスが一般に公開されているかどうかは関係ありません)。

強調私の)

1.1.1.1Cloudflare は、信頼できる CA からIP アドレスの証明書を取得しただけです。

証明書を解析するhttps://1.1.1.1証明書がサブジェクト別名 (SAN) を使用して、いくつかの IP アドレスと通常のドメイン名を包含していることがわかります。

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

この情報は、Google Chrome 証明書ビューアの「詳細」タブにも表示されます。

証明書ビューア: 詳細: *.cloudflare-dns.com

この証明書は、リストされているすべてのドメイン (ワイルドカードを含む*) および IP アドレスに対して有効です。

答え3

証明書のサブジェクト代替名に IP アドレスが含まれているようです:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

従来はここに DNS 名のみを入力すると思いますが、Cloudflare では IP アドレスも入力します。

https://1.0.0.1/ブラウザでも安全であると見なされます。

関連情報