Почему мой браузер считает https://1.1.1.1 безопасным?

Почему мой браузер считает https://1.1.1.1 безопасным?

Когда я посещаюhttps://1.1.1.1, любой веб-браузер, который я использую, считает URL-адрес безопасным.

Вот что показывает Google Chrome:

Адресная строка Google Chrome 65.0.3325.181 показывает https://1.1.1.1

Обычно, когда я пытаюсь посетить сайт HTTPS по его IP-адресу, я получаю такое предупреждение безопасности:

Адресная строка Google Chrome 65.0.3325.181 показывает https://192.168.0.2

Насколько я понимаю, сертификат сайта должен соответствовать домену, но средство просмотра сертификатов Google Chrome не отображает 1.1.1.1:

Просмотрщик сертификатов: *.cloudflare-dns.com

Статья в базе знаний GoDaddy «Могу ли я запросить сертификат для имени интрасети или IP-адреса?»говорит:

Нет, мы больше не принимаем запросы на сертификаты для имен интрасети или IP-адресов.Это общеотраслевой стандарт., а не специально для GoDaddy.

(акцентмой)

А также:

Как результат,вступил в силу 1 октября 2016 г., Центры сертификации (CA)необходимо отозвать SSL-сертификаты, которые используютимена интрасети илиIP-адреса.

(акцентмой)

И:

Вместо защиты IP-адресови имена интрасети, вам следует перенастроить серверы для использования полностью квалифицированных доменных имен (FQDN), таких какwww.coolexample.com.

(акцентмой)

Прошло много времени после даты обязательного отзыва 1 октября 2016 года, однако сертификат 1.1.1.1был выдан 29 марта 2018 года (показано на снимке экрана выше).


Как это возможно, что все основные браузеры думают, чтоhttps://1.1.1.1надежный HTTPS-сайт?

решение1

Английский язык неоднозначен. Вы анализировали это так:

(intranet names) or (IP addresses)

т.е. полностью запретить использование числовых IP-адресов. Значение, которое соответствует тому, что вы видите, следующее:

intranet (names or IP addresses)

т.е. запретить сертификаты длячастные диапазоны IP-адресовнапример 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16, а также для частных имен, которые не видны в публичном DNS.

Сертификаты для публично маршрутизируемых IP-адресов по-прежнему разрешены,просто не рекомендуется большинству людей, особенно тем, у кого нет статического IP-адреса.


Это утверждение является советом, а не утверждением, что выне мочьзащитите (публичный) IP-адрес.

Вместо защиты IP-адресов и имен интрасети вам следует перенастроить серверы для использования полностью квалифицированных доменных имен (FQDN), например www.coolexample.com.

Возможно, кто-то в GoDaddy неправильно истолковал формулировку, но, скорее всего, они хотели упростить свой совет и рекомендовали использовать публичные DNS-имена в сертификатах.

Большинство людей не используют стабильный статический IP для своих услуг. Предоставление услуг DNS — это тот случай, когда действительно необходимо иметь стабильный известный IP, а не просто имя. Для всех остальных, указание вашего текущего IP в вашем SSL-сертификате ограничит ваши будущие возможности, поскольку вы не сможете позволить кому-то другому начать использовать этот IP. Они могут выдавать себя за ваш сайт.

Cloudflare.comимеет контроль надсам IP-адрес 1.1.1.1 и не планирует ничего с ним делать в обозримом будущем, так что это имеет смыслдля нихчтобы внести свой IP в свой сертификат. Особеннокак DNS-провайдер, то HTTPS-клиенты с большей вероятностью посетят их URL-адрес по количеству, чем любой другой сайт.

решение2

Документация GoDaddy ошибочна. Неправда, что Центры сертификации (CA) должны отзывать сертификаты для всех IP-адресов…только зарезервированные IP-адреса.

Источник:https://cabforum.org/internal-names/

ЦС дляhttps://1.1.1.1былDigiCert, который на момент написания этого ответа позволяет покупать сертификаты сайтов для публичных IP-адресов.

У DigiCert есть статья на эту тему под названиемВыпуск SSL-сертификата внутреннего имени сервера после 2015 г.:

Если вы являетесь администратором сервера, использующим внутренние имена, вам необходимо либо перенастроить эти серверы для использования публичного имени, либо перейти на сертификат, выданный внутренним CA до даты отсечения 2015 года. Все внутренние соединения, для которых требуется публично доверенный сертификат, должны осуществляться через имена, которыепубличный и проверяемый(не имеет значения, являются ли эти услуги общедоступными).

(акцентмой)

Cloudflare просто получил сертификат для своего IP-адреса 1.1.1.1от этого доверенного центра сертификации.

Анализ сертификата дляhttps://1.1.1.1показывает, что сертификат использует альтернативные имена субъектов (SAN) для охвата некоторых IP-адресов и обычных доменных имен:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Эта информация также находится в средстве просмотра сертификатов Google Chrome на вкладке «Подробности»:

Просмотрщик сертификата: Подробности: *.cloudflare-dns.com

Данный сертификат действителен для всех перечисленных доменов (включая подстановочные знаки *) и IP-адресов.

решение3

Похоже, альтернативное имя субъекта сертификата включает IP-адрес:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Я полагаю, что традиционно вы бы указали здесь только DNS-имена, но Cloudflare указали также и свои IP-адреса.

https://1.0.0.1/также считается безопасным браузерами.

Связанный контент