當我訪問時https://1.1.1.1,我使用的任何 Web 瀏覽器都認為該 URL 是安全的。
這是Google瀏覽器顯示的內容:
通常,當我嘗試透過 IP 位址存取 HTTPS 網站時,我會收到以下安全性警告:
據我了解,網站憑證需要與網域相匹配,但 Google Chrome 憑證檢視器不顯示1.1.1.1
:
GoDaddy 的知識庫文章“我可以請求 Intranet 名稱或 IP 位址的憑證嗎?”說:
否 - 我們不再接受對 Intranet 名稱或 IP 位址的憑證請求。這是行業範圍內的標準,不是 GoDaddy 特有的。
(強調礦)
並且:
因此,2016 年 10 月 1 日生效、認證機構 (CA)必須撤銷使用的 SSL 憑證內部網路名稱或IP位址。
(強調礦)
和:
而不是保護 IP 位址和 Intranet 名稱,您應該重新配置伺服器以使用完全限定網域名稱 (FQDN),例如www.coolexample.com。
(強調礦)
雖然已經過了強制撤銷日期 2016 年 10 月 1 日,但證書卻1.1.1.1
是在 2018 年 3 月 29 日頒發的(如上面的螢幕截圖所示)。
所有主流瀏覽器怎麼可能都認為https://1.1.1.1是可信任的 HTTPS 網站嗎?
答案1
英語有歧義。你是這樣解析它的:
(intranet names) or (IP addresses)
即完全禁止使用數位IP 位址。與您所看到的相符的含義是:
intranet (names or IP addresses)
即禁止證書私有IP範圍例如 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16,以及在公用 DNS 上看不見的私有名稱。
仍然允許公共可路由 IP 位址的證書,只是一般不建議大多數人使用,尤其是那些不擁有靜態 IP 的人。
本聲明是建議,而不是您的主張不能確保(公共)IP 位址的安全。
您應該重新配置伺服器以使用完全限定網域名稱 (FQDN),例如 www.coolexample.com,而不是保護 IP 位址和 Intranet 名稱
也許 GoDaddy 的某人誤解了該措辭,但更有可能的是他們想讓建議保持簡單,並希望建議在憑證中使用公共 DNS 名稱。
大多數人不使用穩定的靜態 IP 來提供服務。提供 DNS 服務是真正需要擁有穩定的眾所周知的 IP 而不僅僅是名稱的一種情況。 對於其他人來說,將您目前的 IP 放入 SSL 憑證中會限制您未來的選擇,因為您不能讓其他人開始使用該 IP。他們可能會冒充您的網站。
Cloudflare.com控制了1.1.1.1 IP 位址本身,並且在可預見的將來不打算用它做任何不同的事情,所以這是有道理的對他們來說將他們的 IP 放入他們的證書中。尤其作為 DNS 提供者,與任何其他網站相比,HTTPS 用戶端更有可能按數字存取其 URL。
答案2
GoDaddy 文檔有誤。憑證授權單位 (CA) 必須撤銷所有 IP 位址的憑證是不正確的…只保留IP位址。
來源:https://cabforum.org/internal-names/
CA 為https://1.1.1.1曾是數位憑證,在撰寫本答案時,確實允許購買公共 IP 位址的網站憑證。
DigiCert 有一篇關於此的文章,名為2015年後內部伺服器名稱SSL憑證頒發:
如果您是使用內部名稱的伺服器管理員,則需要重新設定這些伺服器以使用公用名稱,或在 2015 年截止日期之前切換到內部 CA 所發出的憑證。所有需要公共信任憑證的內部連線都必須透過以下名稱完成公開且可驗證(這些服務是否可公開存取並不重要)。
(強調礦)
1.1.1.1
Cloudflare 只是從該受信任的 CA獲取了其 IP 位址的憑證。
解析證書為https://1.1.1.1顯示此憑證使用主題備用名稱 (SAN) 來包含一些 IP 位址和普通網域名稱:
deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
X509v3 Subject Alternative Name:
DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001
此資訊也位於 Google Chrome 憑證檢視器的「詳細資料」標籤下:
此憑證對所有列出的網域(包括通配符*
)和 IP 位址均有效。
答案3
看起來憑證主題備用名稱包含 IP 位址:
Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001
傳統上,我猜您只會在此輸入 DNS 名稱,但 Cloudflare 也將其 IP 位址也輸入了。
https://1.0.0.1/瀏覽器也認為是安全的。