Chứng chỉ SSL cho một địa chỉ IP công cộng?


10

Tôi mới thử mua SSL Comodo positive nhưng nó đã bị từ chối do không hỗ trợ địa chỉ IP công cộng, nhưng thay vào đó họ chỉ hỗ trợ một tên miền.

Có ai biết bất kỳ nhà cung cấp chứng chỉ SSL nào hỗ trợ địa chỉ IP công cộng thay vì tên miền không?

Công ty của tôi có một máy chủ chuyên dụng được lưu trữ với một công ty lưu trữ web, được sử dụng để chạy bugtracker cho nhiều dự án (cho nhiều khách hàng). Vì nó chỉ được sử dụng cho một bugtracker, chúng tôi không cần một tên miền (khách hàng của chúng tôi truy cập nó bằng cách nhập IP công cộng vào trình duyệt của họ).


2
Tôi sẽ thiết lập một tên miền để bạn không phải nhớ địa chỉ IP khi bạn ở một địa điểm mà bạn không đánh dấu nó. Thêm vào đó, khi bạn thay đổi IP, nó sẽ trong suốt.
Đánh dấu Wagner

Câu trả lời:


16

Tôi nghĩ bạn có thể làm điều này, nhưng không phải theo cách bạn đang cố gắng thực hiện.

Chứng chỉ SSL là một câu lệnh ràng buộc khóa mã hóa công khai với cấu trúc X.500 bao gồm một phần tử CN hoặc Tên chung; chứng chỉ đã ký là một trong đó ràng buộc được chứng nhận có thể xác thực bởi cơ quan chứng nhận của bên thứ ba, sử dụng khóa công khai đã được biết đến cho người dùng cuối (ngăn xếp chứng chỉ của Cơ quan chứng nhận (CA) sống trong trình duyệt của bạn).

Khi bạn truy cập trang web được bảo mật SSL bằng trình duyệt, CN đã ký được trình duyệt biết. Những gì trình duyệt chọn để làm với nó là tùy thuộc vào trình duyệt. Các trình duyệt tôi biết so sánh nó với tên máy chủ được yêu cầu và lỗi nếu nó khác (hoặc nếu ràng buộc được chứng nhận đó không đứng vững để phân tích, ví dụ: chứng chỉ ký không được trình duyệt biết hoặc ràng buộc bị loại ra của ngày, nhưng đó là một vấn đề khác). Về nguyên tắc, không có gì ngăn bạn lấy chứng chỉ được ký công khai trong đó CN là địa chỉ IP không phải là FQDN (tên miền đủ điều kiện) [1], nhưng điều đó sẽ không làm cho trình duyệt so sánh CN với IP một cách kỳ diệu địa chỉ, thay vì với tên máy chủ được yêu cầu .

Tôi nghi ngờ cách đơn giản nhất để giải quyết vấn đề của bạn là bắt đầu CA của riêng bạn, việc này rất dễ thực hiện và có nhiều hướng dẫn công khai về; một là ở đây . Khi người dùng cuối của bạn nhập CA của bạn vào trình duyệt của họ, tất cả các chứng chỉ bạn đúc sẽ được chấp nhận là có thẩm quyền.

Sau đó, bạn có thể gặp vấn đề thứ hai là bạn muốn chạy nhiều trang NameVirtualhost trên một địa chỉ IP duy nhất. Điều này trong lịch sử không thể khắc phục được, vì (không giống như TLS) đàm phán SSL xảy ra trước bất kỳ điều gì khác trên một kết nối; nghĩa là, CN được nhúng trong chứng chỉ của bạn được biết đến và được sử dụng bởi, máy khách trước khi máy khách có thể nói máy chủ nào họ đang cố gắng kết nối.

Gần đây, một phần mở rộng giao thức có tên SNI (Chỉ định tên máy chủ) dường như đã được giới thiệu, cho phép máy khách và máy chủ cho biết rằng họ muốn thực hiện một số nội dung tên máy chủ trước khi chứng chỉ SSL được trình bày, cho phép một trong các tập hợp bên phải giấy chứng nhận sẽ được cung cấp bởi máy chủ. Rõ ràng điều này đòi hỏi apache 2.2.10, một phiên bản gần đây của OpenSSL và ( quan trọng là ) hỗ trợ phía khách hàng.

Vì vậy, nếu tôi phải làm những gì bạn đang cố gắng, tôi sẽ xem xét việc đúc chứng chỉ CA của riêng tôi, nói với người dùng cuối của tôi rằng họ phải sử dụng các trình duyệt hỗ trợ SNI và nhập chứng chỉ gốc CA của tôi, và cắt và ký chứng chỉ SSL của riêng tôi cho mỗi trang web bugtrack.

[1] OK, bạn có thể không tìm thấy ai sẽ làm điều đó, nhưng đó là một chi tiết thực hiện. Điều tôi đang cố gắng thể hiện ở đây là ngay cả khi bạn đã làm, nó sẽ không giải quyết được vấn đề của bạn.


4
Đối với một ứng dụng cụ thể, tại sao không? Nếu nó được cung cấp bởi nhà cung cấp ứng dụng và bạn không tin tưởng anh ta, dù sao bạn cũng bị ràng buộc với ứng dụng này, vì anh ta có khóa SSL riêng và có thể giải mã mọi thứ bất kể. và nếu điều đó làm họ lo lắng nhiều, anh ta chỉ có thể cắt chứng chỉ tự ký cho mỗi trang web buqtrack của mình và họ có thể nhập chúng trên cơ sở khi cần thiết.
MadHatter

2
@Tom - nếu bạn không tin tưởng người cung cấp cho bạn chứng chỉ trong ví dụ trên thì tại sao bạn thậm chí sẽ làm kinh doanh với họ ngay từ đầu? Chứng nhận SSL có được cấp bởi / với sự hỗ trợ của / một CA đã biết hay không là điều bạn lo lắng nhất khi WRT tin tưởng nếu bạn giao phó dữ liệu cho ứng dụng 'trực tuyến'.
Rob Moir

2
Tôi cho rằng nỗi sợ là dường như không có cách nào để cài đặt CA chỉ có thẩm quyền đối với một số tên miền nhất định, một khi chúng cài đặt root CA của tôi, tôi có thể chứng nhận các trang web ngân hàng trực tuyến dễ dàng như ứng dụng theo dõi lỗi của riêng tôi. Nếu tôi có thể đầu độc bộ đệm DNS của họ thì tôi có thể thực hiện một cuộc tấn công trung gian vào ngân hàng trực tuyến của họ. Nếu điều này thực sự làm họ lo lắng và họ không muốn sử dụng trình duyệt tùy chỉnh cho dự án này, thì như tôi đã nói ở trên, tôi có thể cắt chứng chỉ tự ký cho mỗi bugtracker riêng lẻ mà khách hàng có thể cài đặt khi cần.
MadHatter

1
Tom, tôi thực sự đồng ý với điều đó lý do muốn sử dụng một 'tin cậy' cert. Trong thực tế, tôi đồng ý với nó 100%. Đó không phải là cách bình luận ban đầu của bạn đi qua, tuy nhiên.
Rob Moir

1
Tên miền rực lửa? Ngôn ngữ mẹ đẻ của tôi không phải là tiếng Anh, vì vậy bạn có thể giải thích điều đó? Ngoài ra, ông chủ của tôi thích sử dụng IP công cộng, có thể ông ta không muốn công cụ tìm kiếm tìm thấy trang web (công cụ tìm kiếm có thể tìm thấy trang web mặc dù nó không có tên miền?)
công cụ nối tiếp

10

Có một Cơ quan cấp chứng chỉ gốc mà tôi biết rằng được phổ biến trước với tất cả các trình duyệt chính phát hành chứng chỉ SSL trên các địa chỉ IP công cộng: hãy xem GlobalSign . Họ đọc thông tin RIPE để xác thực yêu cầu chứng chỉ của bạn, vì vậy bạn có thể muốn kiểm tra trước tiên rằng mục RIPE được cấp đúng tên.

Liên quan đến thông tin phản hồi, mục này đã nhận được:

, tốt hơn là mua một tên miền và cấp chứng chỉ SSL trên CN đó. Nó cũng rẻ hơn tùy chọn GlobalSign ở trên.

Nhưng , có những trường hợp chứng chỉ SSL có IP công cộng là CN hữu ích. Nhiều nhà cung cấp internet và chính phủ chặn các trang web không mong muốn dựa trên cơ sở hạ tầng DNS. Nếu bạn đang cung cấp một số loại trang web có khả năng bị chặn, chẳng hạn vì lý do chính trị, thì đó là một lựa chọn tốt để có thể truy cập trang web này thông qua địa chỉ IP công cộng. Đồng thời, bạn sẽ muốn mã hóa lưu lượng cho những người dùng đó và bạn không muốn người dùng phi công nghệ của mình gặp rắc rối khi nhấp qua các cảnh báo ngoại lệ bảo mật của trình duyệt của họ (vì CN của chứng chỉ không khớp cái thực tế đã nhập). Làm cho họ cài đặt Root CA rất riêng của bạn thậm chí còn rắc rối hơn và không thực tế.


Đáng chú ý, "một máy chủ chuyên dụng được lưu trữ với một công ty lưu trữ web" sẽ khó có một RIP riêng, nhưng mạng xung quanh sẽ có một mục RIPE (về công ty lưu trữ)
Hagen von Eitzen

1

Đi trước và mua tên miền. Chúng rẻ, không rẻ hơn thế. Bạn chỉ cần một. Thậm chí có thể chỉ cần thiết lập bugtracker.yourcompany.com.

Sau đó, đối với mỗi bugtracker, hãy thiết lập một tên miền phụ cho tên đó. Nhận chứng chỉ SSL cho mỗi tên miền phụ đó. Vì bạn có vẻ đặc biệt không thích chi phí, công ty bạn muốn hợp tác được gọi là StartSSL.

http://www.startssl.com/

Lý do bạn muốn sử dụng chúng là vì (ngoài việc được các trình duyệt chính tin cậy), chứng chỉ của họ không tốn một cánh tay và một chân. Các loại chứng chỉ cơ bản nhất là thực sự, trung thực, không có shit miễn phí. Họ xác minh danh tính của bạn, sau đó cho phép bạn phát hành bao nhiêu tùy ý. Nếu bạn muốn các fancier certs (thường có giá vài trăm đô la), bạn đang tìm kiếm khoảng 50 đô la trong 2 năm để hỗ trợ SSL cho nhiều tên miền trên một IP.

Chúng siêu rẻ cho những gì bạn nhận được. Họ phát hành các loại giấy thật, được các trình duyệt khách hàng của bạn tin tưởng và không phải dùng thử 90 ngày như những nơi khác.


1
Tôi cũng không nghĩ mình hiểu điều đó. Chứng chỉ SSL được cấp đúng là bản thân mã thông báo nhận dạng; cơ quan chứng nhận không cung cấp bất kỳ dịch vụ nào sau sự cố. Trang web của tôi được bảo mật trên chứng chỉ RapidSSL, nhưng nếu ngày mai họ phá sản thì chứng chỉ của tôi sẽ có hiệu lực như bây giờ.
MadHatter

2
Có bao nhiêu khách hàng của bạn sẽ thực hiện kiểm tra lý lịch đầy đủ về nhà cung cấp SSL của bạn? Họ thực sự phải đào trước khi họ nhận ra rằng họ đang làm việc với một công ty làm ăn với một công ty Israel. Như MadHatter đã nói, sự bất ổn chính trị có rất ít liên quan đến việc chứng nhận của bạn có hợp lệ hay không. Khi nó được ban hành, nó có hiệu lực cho đến khi nó hết hạn, dừng hẳn. Nhưng thật tuyệt nếu bạn muốn trả một số tiền vô lý của nhà đăng ký khác cho một thứ không phức tạp về mặt kỹ thuật. SSL certs là một trong những trò lừa đảo lố bịch nhất từ ​​trước đến nay.
Paul McMillan

2
Này, tất cả chỉ cần một khách hàng để thổi bay nó. Xin lỗi vì tôi không rõ ràng ngay từ đầu. Đất nước tôi không cho phép người dân làm ăn với Israel. Đó là tất cả.
động cơ nối tiếp

1
Vâng, đó sẽ là một điều hữu ích hơn để nói. SSL certs là không cần thiết đắt tiền, nhưng trên quy mô kinh doanh, chi phí gần như không có gì.
Paul McMillan

2
"Một khi nó được ban hành, nó có hiệu lực cho đến khi nó hết hạn, dừng hoàn toàn". Trừ khi nó chứa thông tin thu hồi, bị thu hồi và khách hàng thực thi kiểm tra thu hồi. Và một CA đi theo có lẽ sẽ bị buộc phải thu hồi tất cả các certs của họ. Chỉ cần nói
Ryan Bolger
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.