Warum denkt mein Browser, dass https://1.1.1.1 sicher ist?

Warum denkt mein Browser, dass https://1.1.1.1 sicher ist?

Wenn ich besuchehttps://1.1.1.1, jeder von mir verwendete Webbrowser betrachtet die URL als sicher.

Dies ist, was Google Chrome anzeigt:

In der Adressleiste von Google Chrome 65.0.3325.181 wird https://1.1.1.1 angezeigt.

Normalerweise erhalte ich eine Sicherheitswarnung wie diese, wenn ich versuche, eine HTTPS-Site über ihre IP-Adresse zu besuchen:

In der Adressleiste von Google Chrome 65.0.3325.181 wird https://192.168.0.2 angezeigt.

Meines Wissens nach muss das Site-Zertifikat mit der Domäne übereinstimmen, aber der Zertifikats-Viewer von Google Chrome zeigt Folgendes nicht an 1.1.1.1:

Zertifikatsanzeige: *.cloudflare-dns.com

GoDaddy-Knowledgebase-Artikel „Kann ich ein Zertifikat für einen Intranetnamen oder eine IP-Adresse anfordern?“sagt:

Nein, wir akzeptieren keine Zertifikatsanfragen mehr für Intranetnamen oder IP-Adressen.Dies ist ein branchenweiter Standard, keines, das speziell für GoDaddy gilt.

(Schwerpunktmeins)

Und auch:

Infolge,gültig ab 1. Oktober 2016, Zertifizierungsstellen (CAs)müssen SSL-Zertifikate widerrufen, dieIntranetnamen oderIP-Adressen.

(Schwerpunktmeins)

Und:

Anstatt IP-Adressen zu sichernund Intranetnamen sollten Sie die Server so konfigurieren, dass sie vollqualifizierte Domänennamen (FQDNs) verwenden, wie z. B.www.coolesbeispiel.com.

(Schwerpunktmeins)

Das Datum für den obligatorischen Widerruf, 1. Oktober 2016, liegt zwar deutlich zurück, das Zertifikat 1.1.1.1wurde jedoch am 29. März 2018 ausgestellt (siehe Screenshot oben).


Wie ist es möglich, dass alle großen Browser denken, dasshttps://1.1.1.1ist eine vertrauenswürdige HTTPS-Website?

Antwort1

Englisch ist mehrdeutig. Sie haben es folgendermaßen analysiert:

(intranet names) or (IP addresses)

d. h. die Verwendung numerischer IP-Adressen vollständig verbieten. Die Bedeutung, die dem entspricht, was Sie sehen, ist:

intranet (names or IP addresses)

d.h. Verbot von Zertifikaten für dieprivate IP-Bereichewie 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie für private Namen, die im öffentlichen DNS nicht sichtbar sind.

Zertifikate für öffentlich routbare IP-Adressen sind weiterhin zulässig.Es wird den meisten Leuten einfach nicht empfohlen, insbesondere nicht denen, die nicht auch eine statische IP besitzen.


Diese Aussage ist ein Ratschlag und keine Behauptung, dass SiekippenSichern Sie sich eine (öffentliche) IP-Adresse.

Anstatt IP-Adressen und Intranetnamen zu sichern, sollten Sie Server so neu konfigurieren, dass sie vollqualifizierte Domänennamen (FQDNs) verwenden, wie z. B. www.coolexample.com

Möglicherweise hat jemand bei GoDaddy den Wortlaut falsch interpretiert, aber wahrscheinlicher ist, dass sie ihren Rat einfach halten und die Verwendung öffentlicher DNS-Namen in Zertifikaten empfehlen wollten.

Die meisten Leute verwenden für ihren Dienst keine stabile statische IP. Bei der Bereitstellung von DNS-Diensten ist eine stabile, bekannte IP und nicht nur ein Name wirklich erforderlich. Für alle anderen würde das Einfügen Ihrer aktuellen IP in Ihr SSL-Zertifikat Ihre zukünftigen Optionen einschränken, da Sie nicht zulassen könnten, dass jemand anderes diese IP verwendet. Diese Personen könnten sich als Ihre Site ausgeben.

Cloudflare.comhat die Kontrolle überdie IP-Adresse 1.1.1.1 selbst und plant in absehbarer Zukunft nichts anderes damit zu tun, also macht es Sinnfür Sieihre IP in ihr Zertifikat einzutragen. Insbesondereals DNS-Anbieter, ist es wahrscheinlicher, dass HTTPS-Clients ihre URL anhand der Nummer besuchen, als bei jeder anderen Site.

Antwort2

Die GoDaddy-Dokumentation ist falsch. Es stimmt nicht, dass Zertifizierungsstellen (CAs) Zertifikate für alle IP-Adressen widerrufen müssen…nur reservierte IP-Adressen.

Quelle:https://cabforum.org/internal-names/

Die Zertifizierungsstelle fürhttps://1.1.1.1WarDigiCert, das zum Zeitpunkt des Verfassens dieser Antwort den Kauf von Site-Zertifikaten für öffentliche IP-Adressen ermöglicht.

DigiCert hat hierzu einen Artikel mit dem TitelAusstellung des SSL-Zertifikats für internen Servernamen nach 2015:

Wenn Sie ein Serveradministrator sind, der interne Namen verwendet, müssen Sie diese Server entweder so konfigurieren, dass sie einen öffentlichen Namen verwenden, oder vor dem Stichtag 2015 auf ein von einer internen Zertifizierungsstelle ausgestelltes Zertifikat umsteigen. Alle internen Verbindungen, die ein öffentlich vertrauenswürdiges Zertifikat erfordern, müssen über Namen erfolgen, dieöffentlich und überprüfbar(Es spielt keine Rolle, ob diese Dienste öffentlich zugänglich sind).

(Schwerpunktmeins)

1.1.1.1Cloudflare hat von dieser vertrauenswürdigen Zertifizierungsstelle einfach ein Zertifikat für die eigene IP-Adresse erhalten.

Analysieren des Zertifikats fürhttps://1.1.1.1zeigt, dass das Zertifikat Subject Alternative Names (SANs) verwendet, um einige IP-Adressen und gewöhnliche Domänennamen abzudecken:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Diese Informationen finden Sie auch im Google Chrome-Zertifikats-Viewer unter der Registerkarte „Details“:

Zertifikatsanzeige: Details: *.cloudflare-dns.com

Dieses Zertifikat ist für alle aufgelisteten Domänen (einschließlich der Wildcard *) und IP-Adressen gültig.

Antwort3

Es sieht so aus, als ob der alternative Name des Zertifikatsinhabers die IP-Adresse enthält:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Normalerweise würden Sie hier vermutlich nur DNS-Namen eingeben, aber Cloudflare hat auch seine IP-Adressen eingegeben.

https://1.0.0.1/wird auch von Browsern als sicher angesehen.

verwandte Informationen