¿Por qué mi navegador cree que https://1.1.1.1 es seguro?

tag-icon tag-icon security browser https web ssl-certificate
¿Por qué mi navegador cree que https://1.1.1.1 es seguro?

cuando visitohttps://1.1.1.1, cualquier navegador web que uso considera que la URL es segura.

Esto es lo que muestra Google Chrome:

Barra de direcciones de Google Chrome 65.0.3325.181 que muestra https://1.1.1.1

Normalmente, cuando intento visitar un sitio HTTPS a través de su dirección IP, aparece una advertencia de seguridad como esta:

Barra de direcciones de Google Chrome 65.0.3325.181 que muestra https://192.168.0.2

Según tengo entendido, el certificado del sitio debe coincidir con el dominio, pero el Visor de certificados de Google Chrome no muestra 1.1.1.1:

Visor de certificados: *.cloudflare-dns.com

Artículo de la base de conocimientos de GoDaddy "¿Puedo solicitar un certificado para un nombre de intranet o una dirección IP?"dice:

No, ya no aceptamos solicitudes de certificados ni para nombres de intranet ni para direcciones IP.Este es un estándar para toda la industria., no uno específico de GoDaddy.

(énfasismío)

Y también:

Como resultado,a partir del 1 de octubre de 2016, Autoridades de certificación (CA)debe revocar los certificados SSL que utilicennombres de intranet oDirecciones IP.

(énfasismío)

Y:

En lugar de proteger las direcciones IPy nombres de intranet, debe reconfigurar los servidores para que utilicen nombres de dominio completos (FQDN), comowww.coolexample.com.

(énfasismío)

Es mucho después de la fecha de revocación obligatoria del 1 de octubre de 2016, pero el certificado 1.1.1.1se emitió el 29 de marzo de 2018 (como se muestra en la captura de pantalla anterior).

¿Cómo es posible que todos los principales navegadores piensen eso?https://1.1.1.1Qué es un sitio web HTTPS confiable?

Respuesta1

El inglés es ambiguo.. Lo estabas analizando así:

(intranet names) or (IP addresses)

es decir, prohibir por completo el uso de direcciones IP numéricas. El significado que coincide con lo que estás viendo es:

intranet (names or IP addresses)

es decir, certificados de prohibición para elrangos de IP privadoscomo 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, así como para nombres privados que no son visibles en el DNS público.

Todavía se permiten certificados para direcciones IP enrutables públicamente.pero generalmente no se recomienda para la mayoría de las personas, especialmente para aquellos que no poseen una IP estática.

Esta declaración es un consejo, no una afirmación de que ustedno poderasegurar una dirección IP (pública).

En lugar de proteger las direcciones IP y los nombres de la intranet, debe reconfigurar los servidores para que utilicen nombres de dominio completos (FQDN), como www.coolexample.com.

Tal vez alguien en GoDaddy estaba malinterpretando la redacción, pero lo más probable es que quisieran mantener sus consejos simples y recomendaran el uso de nombres DNS públicos en los certificados.

La mayoría de las personas no utilizan una IP estática estable para su servicio. Proporcionar servicios DNS es el único caso en el que es realmente necesario tener una IP estable y conocida en lugar de solo un nombre. Para cualquier otra persona, poner su IP actual en su certificado SSL limitaría sus opciones futuras, porque no podría permitir que otra persona comience a usar esa IP. Podrían hacerse pasar por su sitio.

Cloudflare.comtiene control dela dirección IP 1.1.1.1 y no planea hacer nada diferente con ella en el futuro previsible, por lo que tiene sentidopara ellospara poner su IP en su certificado. Especialmentecomo proveedor de DNS, es más probable que los clientes HTTPS visiten su URL por número que cualquier otro sitio.

Respuesta2

La documentación de GoDaddy está equivocada. No es cierto que las Autoridades de Certificación (CA) deban revocar los certificados de todas las direcciones IP…solo direcciones IP reservadas.

Fuente:https://cabforum.org/nombres-internos/

La CA parahttps://1.1.1.1eraDigicert, que al momento de escribir esta respuesta, permite comprar certificados de sitio para direcciones IP públicas.

DigiCert tiene un artículo sobre esto llamadoNombre del servidor interno Emisión de certificado SSL después de 2015:

Si es administrador de un servidor y utiliza nombres internos, debe reconfigurar esos servidores para que utilicen un nombre público o cambiar a un certificado emitido por una CA interna antes de la fecha límite de 2015. Todas las conexiones internas que requieren un certificado de confianza pública deben realizarse a través de nombres que seanpúblico y verificable(no importa si esos servicios son de acceso público).

(énfasismío)

Cloudflare simplemente obtuvo un certificado para su dirección IP 1.1.1.1de esa CA confiable.

Analizando el certificado parahttps://1.1.1.1revela que el certificado utiliza nombres alternativos de sujeto (SAN) para abarcar algunas direcciones IP y nombres de dominio ordinarios:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Esta información también se encuentra en el Visor de certificados de Google Chrome en la pestaña "Detalles":

Visor de certificados: Detalles: *.cloudflare-dns.com

Este certificado es válido para todos los dominios enumerados (incluido el comodín *) y direcciones IP.

Respuesta3

Parece que el nombre alternativo del sujeto del certificado incluye la dirección IP:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Tradicionalmente, supongo que solo habrías puesto nombres DNS aquí, pero Cloudflare también ha puesto sus direcciones IP.

https://1.0.0.1/Los navegadores también lo consideran seguro.

información relacionada