내 브라우저는 왜 https://1.1.1.1이 안전하다고 생각합니까?

tag-icon tag-icon security browser https web ssl-certificate
내 브라우저는 왜 https://1.1.1.1이 안전하다고 생각합니까?

내가 방문할 때https://1.1.1.1, 내가 사용하는 모든 웹 브라우저는 URL이 안전하다고 간주합니다.

Google Chrome에 표시되는 내용은 다음과 같습니다.

https://1.1.1.1을 표시하는 Google Chrome 65.0.3325.181 주소 표시줄

일반적으로 IP 주소를 통해 HTTPS 사이트를 방문하려고 하면 다음과 같은 보안 경고가 표시됩니다.

https://192.168.0.2를 표시하는 Google Chrome 65.0.3325.181 주소 표시줄

내가 이해한 바로는 사이트 인증서가 도메인과 일치해야 하지만 Google Chrome 인증서 뷰어에는 다음이 표시되지 않습니다 1.1.1.1.

인증서 뷰어: *.cloudflare-dns.com

GoDaddy의 지식 베이스 문서 "인트라넷 이름이나 IP 주소에 대한 인증서를 요청할 수 있습니까?"말한다:

아니요. 인트라넷 이름이나 IP 주소에 대한 인증서 요청을 더 이상 허용하지 않습니다.이는 업계 전반의 표준입니다., GoDaddy에만 해당되는 것은 아닙니다.

(중요성내 거)

그리고 또한:

결과적으로,2016년 10월 1일부터 시행, 인증 기관(CA)다음을 사용하는 SSL 인증서를 취소해야 합니다.인트라넷 이름 또는IP 주소.

(중요성내 거)

그리고:

IP 주소를 확보하는 대신및 인트라넷 이름을 사용하려면 다음과 같은 FQDN(정규화된 도메인 이름)을 사용하도록 서버를 재구성해야 합니다.www.coolexample.com.

(중요성내 거)

필수 취소 날짜인 2016년 10월 1일이 훨씬 지났지만 인증서는 1.1.1.12018년 3월 29일에 발급되었습니다(위 스크린샷 참조).

모든 주요 브라우저가 어떻게 그렇게 생각하는 것이 가능합니까?https://1.1.1.1신뢰할 수 있는 HTTPS 웹사이트인가요?

답변1

영어가 모호하다. 다음과 같이 구문 분석했습니다.

(intranet names) or (IP addresses)

즉, 숫자 IP 주소의 사용을 완전히 금지합니다. 당신이 보고 있는 것과 일치하는 의미는 다음과 같습니다:

intranet (names or IP addresses)

즉, 금지 인증서비공개 IP 범위10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 등은 물론 공용 DNS에 표시되지 않는 개인 이름도 마찬가지입니다.

공개적으로 라우팅 가능한 IP 주소에 대한 인증서는 계속 허용됩니다.다만 대부분의 사람들, 특히 고정 IP를 소유하지 않은 사람들에게는 일반적으로 권장되지 않습니다.

이 진술은 조언이지 귀하가 주장하는 것이 아닙니다.캔트(공용) IP 주소를 확보합니다.

IP 주소와 인트라넷 이름을 보호하는 대신 www.coolexample.com과 같은 FQDN(정규화된 도메인 이름)을 사용하도록 서버를 재구성해야 합니다.

GoDaddy의 누군가가 문구를 잘못 해석했을 수도 있지만 조언을 단순하게 유지하고 인증서에 공용 DNS 이름을 사용하도록 권장하고 싶었을 가능성이 높습니다.

대부분의 사람들은 서비스에 안정적인 고정 IP를 사용하지 않습니다. DNS 서비스 제공은 단순한 이름이 아닌 안정적이고 잘 알려진 IP가 꼭 필요한 경우 중 하나입니다. 다른 사람의 경우 SSL 인증서에 현재 IP를 입력하면 다른 사람이 해당 IP를 사용하도록 허용할 수 없기 때문에 향후 옵션이 제한됩니다. 그들은 귀하의 사이트를 가장할 수 있습니다.

Cloudflare.com통제권을 가지고 있다1.1.1.1 IP 주소 자체를 사용하며 가까운 미래에 이를 사용하여 다른 작업을 수행할 계획이 없으므로 이는 의미가 있습니다.그들을 위해인증서에 IP를 넣습니다. 특히DNS 공급자로서, HTTPS 클라이언트가 다른 사이트보다 숫자로 URL을 방문할 가능성이 더 높습니다.

답변2

GoDaddy 설명서가 잘못되었습니다. 인증 기관(CA)이 모든 IP 주소에 대한 인증서를 취소해야 한다는 것은 사실이 아닙니다…방금 예약된 IP 주소.

원천:https://cabforum.org/internal-names/

CA는https://1.1.1.1~였다DigiCert, 이 답변을 작성하는 시점에서는 공용 IP 주소에 대한 사이트 인증서 구매를 허용합니다.

DigiCert에는 이에 대한 기사가 있습니다.2015년 이후 내부 서버명 SSL 인증서 발급:

내부 이름을 사용하는 서버 관리자인 경우 공개 이름을 사용하도록 해당 서버를 재구성하거나 2015년 마감일 이전에 내부 CA에서 발급한 인증서로 전환해야 합니다. 공개적으로 신뢰할 수 있는 인증서가 필요한 모든 내부 연결은 다음과 같은 이름을 통해 수행되어야 합니다.공개적이고 검증 가능(해당 서비스가 공개적으로 액세스 가능한지는 중요하지 않습니다.)

(중요성내 거)

1.1.1.1Cloudflare는 신뢰할 수 있는 CA로부터 IP 주소에 대한 인증서를 받았습니다.

인증서를 구문 분석하는 중https://1.1.1.1인증서는 일부 IP 주소와 일반 도메인 이름을 포함하기 위해 SAN(주체 대체 이름)을 사용함을 나타냅니다.

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

이 정보는 '세부정보' 탭 아래의 Google Chrome 인증서 뷰어에도 있습니다.

인증서 뷰어: 세부 정보: *.cloudflare-dns.com

이 인증서는 나열된 모든 도메인(와일드카드 포함 *) 및 IP 주소에 대해 유효합니다.

답변3

인증서 주체 대체 이름에 IP 주소가 포함된 것 같습니다.

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

전통적으로는 여기에 DNS 이름만 입력했을 것 같지만 Cloudflare에서는 IP 주소도 입력했습니다.

https://1.0.0.1/브라우저에서도 안전한 것으로 간주됩니다.

관련 정보