Tại sao trình duyệt của tôi nghĩ rằng https://1.1.1.1 là an toàn?


133

Khi tôi truy cập https://1.1.1.1 , mọi trình duyệt web tôi sử dụng đều coi URL là an toàn.

Đây là những gì Google Chrome thể hiện:

Thanh địa chỉ Google Chrome 65.0.3325.181 hiển thị https://1.1.1.1

Thông thường, khi tôi cố gắng truy cập trang web HTTPS qua địa chỉ IP của nó, tôi nhận được cảnh báo bảo mật như sau:

Thanh địa chỉ Google Chrome 65.0.3325.181 hiển thị https://192.168.0.2

Theo hiểu biết của tôi, chứng chỉ trang web cần khớp với tên miền, nhưng Trình xem chứng chỉ Google Chrome không hiển thị 1.1.1.1:

Trình xem chứng chỉ: * .cloudflare-dns.com

Bài viết về kiến ​​thức của GoDaddy "Tôi có thể yêu cầu chứng chỉ cho tên mạng nội bộ hoặc địa chỉ IP không?" nói:

Không - chúng tôi không còn chấp nhận yêu cầu chứng chỉ cho tên mạng nội bộ hoặc địa chỉ IP. Đây là một tiêu chuẩn toàn ngành , không dành riêng cho GoDaddy.

( nhấn mạnh của tôi)

Và cũng:

Do đó, có hiệu lực từ ngày 1 tháng 10 năm 2016 , Cơ quan Chứng nhận (CA) phải thu hồi chứng chỉ SSL sử dụng tên mạng nội bộ hoặc địa chỉ IP .

( nhấn mạnh của tôi)

Và:

Thay vì bảo mật địa chỉ IP và tên mạng nội bộ, bạn nên cấu hình lại các máy chủ để sử dụng Tên miền đủ điều kiện (FQDN), chẳng hạn như www.coolexample.com .

( nhấn mạnh của tôi)

Đó là sau ngày thu hồi bắt buộc ngày 01 tháng 10 năm 2016, nhưng giấy chứng nhận 1.1.1.1đã được cấp vào ngày 29 tháng 3 năm 2018 (hiển thị trong ảnh chụp màn hình ở trên).


Làm thế nào có thể tất cả các trình duyệt chính nghĩ rằng https://1.1.1.1 là một trang web HTTPS đáng tin cậy?


10
Đáng chú ý là có một sự khác biệt rất lớn giữa 192.168.0.2 và 1.1.1.1. Một 192.168.0.2cái không tồn tại bên ngoài mạng nội bộ của bạn. Nếu bạn tạo chứng chỉ tự ký của riêng mình 192.168.0.2sẽ được tin cậy và bạn có thể sử dụng cách tiếp cận tương tự cho SAN, trên một tên miền như fake.domain. Đáng chú ý rằng đó 1.1.1.1không phải là một địa chỉ IP dành riêng, vì vậy nó xuất hiện, bất kỳ CA nào cũng sẽ cấp chứng chỉ.
Ramhound

12
blog.cloudflare.com/announcing-1111 "Hôm nay chúng tôi rất vui mừng được thực hiện một bước nữa để thực hiện sứ mệnh đó với việc ra mắt 1.1.1.1 - dịch vụ DNS dành cho người tiêu dùng đầu tiên, riêng tư nhanh nhất trên Internet."

11
Tôi nghĩ bạn ngoặc câu sai. Họ có thể có nghĩa là 'phải thu hồi chứng chỉ SSL sử dụng mạng nội bộ (tên hoặc địa chỉ IP)' không '' phải thu hồi chứng chỉ SSL sử dụng (tên mạng nội bộ) hoặc địa chỉ IP '.
Maciej Piechotka

1
@MaciejPiechotka là chính xác, điều này có nghĩa là "phải thu hồi chứng chỉ SSL sử dụng tên mạng nội bộ hoặc địa chỉ IP mạng nội bộ"
Ben

2
BTW ... không có gì gọi là thu hồi bắt buộc. Theo nghĩa đen, không có tổ chức nào trên Trái đất có loại sức mạnh đó. Gần nhất bạn nhận được là một loạt các CA đồng ý làm một việc.
cHao

Câu trả lời:


95

Tiếng Anh mơ hồ . Bạn đã phân tích cú pháp như thế này:

(intranet names) or (IP addresses)

tức là cấm sử dụng hoàn toàn địa chỉ IP số. Ý nghĩa phù hợp với những gì bạn đang thấy là:

intranet (names or IP addresses)

tức là cấm các chứng chỉ cho các phạm vi IP riêng như 10.0.0.0/8, 172.16.0.0/12 và 192.168.0.0/16, cũng như đối với các tên riêng không hiển thị trên DNS công cộng.

Chứng chỉ cho các địa chỉ IP có thể định tuyến công khai vẫn được cho phép, thường không được khuyến nghị cho hầu hết mọi người, đặc biệt là những người không sở hữu IP tĩnh.


Tuyên bố này là lời khuyên, không phải là khiếu nại mà bạn không thể bảo mật địa chỉ IP (công khai).

Thay vì bảo mật địa chỉ IP và tên mạng nội bộ, bạn nên cấu hình lại máy chủ để sử dụng Tên miền đủ điều kiện (FQDN), chẳng hạn như www.coolexample.com

Có thể ai đó tại GoDaddy đã hiểu sai từ ngữ, nhưng nhiều khả năng họ muốn giữ cho lời khuyên của họ đơn giản và muốn đề xuất sử dụng tên DNS công khai trong chứng chỉ.

Hầu hết mọi người không sử dụng IP tĩnh ổn định cho dịch vụ của họ. Cung cấp dịch vụ DNS là một trường hợp thực sự cần thiết để có một IP nổi tiếng ổn định thay vì chỉ một cái tên. Đối với bất kỳ ai khác, việc đặt IP hiện tại của bạn vào chứng chỉ SSL sẽ hạn chế các tùy chọn trong tương lai của bạn, vì bạn không thể để người khác bắt đầu sử dụng IP đó. Họ có thể mạo danh trang web của bạn.

Cloudflare.com tự kiểm soát địa chỉ IP 1.1.1.1 và không có kế hoạch làm bất cứ điều gì khác biệt với nó trong tương lai gần, do đó, thật hợp lý khi họ đặt IP của họ vào chứng chỉ của họ. Đặc biệt là nhà cung cấp DNS , nhiều khả năng khách hàng HTTPS sẽ truy cập URL của họ theo số hơn bất kỳ trang web nào khác.


5
Câu trả lời này chính xác tại sao tôi bối rối. Tôi đã gửi một đề nghị cho GoDaddy để cải thiện từ ngữ của bài viết . Hy vọng họ sẽ sửa nó để làm rõ "(tên máy chủ nội bộ) hoặc (địa chỉ IP dành riêng)" như tài liệu trên Diễn đàn CAB .
Deltik

14
Về mặt giáo dục, Cloudflare không "sở hữu" địa chỉ 1.1.1.1. Nó thuộc sở hữu của APNIC Labs , người đã cho phép Cloudflare vận hành trình phân giải DNS ở đó để đổi lấy sự trợ giúp của Cloudflare trong việc nghiên cứu khối lượng lớn các gói rác được gửi nhầm tới IP đó .
Kevin

12
Về mặt giáo dục, @Kevin, APNIC cũng không sở hữu nó. Bài viết này đề cập đến vấn đề quyền sở hữu và sử dụng cụm từ "phân bổ cho". IANA, một phần của ICANN, đã phân bổ phạm vi địa chỉ cho APNIC, người đã phân bổ các địa chỉ đó cho Cloudflare. Địa chỉ IPv4 chỉ đơn giản là một cách viết số ưa thích từ 0-4294967296 (nếu bạn ping 16843009 trong nhiều hệ điều hành thì bạn sẽ thấy bạn nhận được phản hồi từ 1.1.1.1) và Hoa Kỳ sẽ không nhận ra việc sở hữu một số (do đó tại sao cái tên "Pentium" được tạo ra)
TẤT CẢ

5
Điều Intel là một trường hợp thương hiệu, không sở hữu,
StarWeaver

3
@TOOGAM: Ý tôi là, trong hệ thống whois mà tôi liên kết cụ thể, 1.1.1.1 được phân bổ cho APNIC Labs. Nếu bạn sẽ chọn nits về phân bổ so với quyền sở hữu, đừng xoắn ý nghĩa của "được phân bổ".
Kevin

102

Tài liệu GoDaddy bị nhầm. Không phải sự thật là Cơ quan Chứng nhận (CA) phải thu hồi chứng chỉ cho tất cả các địa chỉ IP mà chỉ là địa chỉ IP dành riêng .

Nguồn: https://cabforum.org/iternal-names/

CA cho https://1.1.1.1DigiCert , khi viết câu trả lời này, cho phép mua chứng chỉ trang web cho các địa chỉ IP công cộng.

DigiCert có một bài viết về điều này được gọi là Cấp phát chứng chỉ SSL tên máy chủ nội bộ sau năm 2015 :

Nếu bạn là quản trị viên máy chủ sử dụng tên nội bộ, bạn cần phải cấu hình lại các máy chủ đó để sử dụng tên công khai hoặc chuyển sang chứng chỉ do CA nội bộ cấp trước ngày giới hạn 2015. Tất cả các kết nối nội bộ yêu cầu chứng chỉ tin cậy công khai phải được thực hiện thông qua các tên công khai và có thể kiểm chứng (không quan trọng nếu các dịch vụ đó có thể truy cập công khai).

( nhấn mạnh của tôi)

Cloudflare chỉ cần có một chứng chỉ cho địa chỉ IP của họ 1.1.1.1từ CA đáng tin cậy đó.

Phân tích chứng chỉ cho https://1.1.1.1 cho thấy chứng chỉ sử dụng Tên thay thế chủ đề (SAN) để bao gồm một số địa chỉ IP và tên miền thông thường:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Thông tin này cũng có trong Trình xem chứng chỉ Google Chrome trong tab "Chi tiết":

Trình xem chứng chỉ: Chi tiết: * .cloudflare-dns.com

Chứng chỉ này có giá trị cho tất cả các tên miền được liệt kê (bao gồm cả ký tự đại diện *) và địa chỉ IP.


Liên kết bài viết của bạn dường như không hoạt động. Tốt nhất để trích dẫn các thông tin liên quan.
Ramhound

11
Tôi nghĩ rằng nó không nhầm lẫn nhiều như gây hiểu lầm. Nó phải được đặt trong ngoặc đơn vì 'phải thu hồi chứng chỉ SSL sử dụng mạng nội bộ (tên hoặc địa chỉ IP)' không '' phải thu hồi chứng chỉ SSL sử dụng (tên mạng nội bộ) hoặc địa chỉ IP '.
Maciej Piechotka

3
Chà, nó có ghi "tên mạng nội bộ hoặc địa chỉ IP". Tên mạng nội bộ hoặc địa chỉ IP mạng nội bộ. Điều đó không sai, chỉ là OP chỉ đọc có chọn lọc.
Các cuộc đua nhẹ nhàng trong quỹ đạo

45

Có vẻ như Tên chứng chỉ Alt bao gồm địa chỉ IP:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Theo truyền thống, tôi đoán bạn sẽ chỉ đặt Tên DNS ở đây, nhưng Cloudflare cũng đã đặt Địa chỉ IP của họ.

https://1.0.0.1/ cũng được các trình duyệt coi là an toàn.


1
Tôi không thấy cách này trả lời câu hỏi. Đăng nội dung của một chứng chỉ không giải thích tại sao một chứng chỉ như vậy có thể được gửi.
Dmitry Grigoryev

18
@DmitryGrigoryev: Nhưng nó chứng minh rằng một chứng chỉ như vậy đã được gửi, đó là một điểm gây nhầm lẫn lớn trong câu hỏi (OP không thể tìm thấy 1.1.1.1 được liệt kê trong chứng chỉ)
Các cuộc đua Lightness trong Orbit

3
Câu trả lời này thực sự trả lời câu hỏi của tác giả. Mặc dù tác giả đã đi sâu vào chi tiết hơn về sự nhầm lẫn của họ, nhưng điều này xác định thực tế, chứng chỉ được đề cập là thực sự hợp lệ. Vì tác giả của câu hỏi, không bao giờ cung cấp cho chúng tôi những gì GoDaddy thực sự đã nói, rất khó để trả lời câu hỏi với bất kỳ ai khác.
Ramhound

4
@DmitryGrigoryev - Nếu câu hỏi là "Tại sao trình duyệt của tôi nghĩ rằng 1.1.1.1 là an toàn?" (tiêu đề của trang này) hoặc "Làm thế nào có thể tất cả các trình duyệt chính nghĩ rằng 1.1.1.1 là một trang web HTTPS đáng tin cậy?" (câu hỏi thực tế duy nhất trong cơ thể), sau đó "vì 1.1.1.1 được liệt kê dưới dạng SAN trong chứng chỉ" trả lời rõ ràng câu hỏi đó.
Dave Sherohman

@DmitryGrigoryev " không giải thích tại sao chứng chỉ đó có thể được gửi " thì câu hỏi không rõ ràng, vì nó thậm chí không chứa thông tin chứng chỉ đầy đủ và không rõ ràng là câu hỏi kỹ thuật về triển khai TLS trong trình duyệt hoặc câu hỏi chính sách về CA, nhưng kết hợp cả hai
tò mò
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.