ทำไมเบราว์เซอร์ของฉันถึงคิดว่า https://1.1.1.1 ปลอดภัย

133

เมื่อฉันไปที่https://1.1.1.1เว็บเบราว์เซอร์ใด ๆ ที่ฉันใช้จะถือว่า URL นั้นปลอดภัย

นี่คือสิ่งที่ Google Chrome แสดง:

โดยปกติเมื่อฉันพยายามเยี่ยมชมเว็บไซต์ HTTPS ผ่านที่อยู่ IP ของฉันได้รับคำเตือนด้านความปลอดภัยเช่นนี้:

จากความเข้าใจของฉันใบรับรองเว็บไซต์ต้องตรงกับโดเมน แต่ตัวแสดงใบรับรอง Google Chrome ไม่แสดง1.1.1.1:

บทความฐานความรู้ของ GoDaddy "ฉันสามารถขอใบรับรองสำหรับชื่ออินทราเน็ตหรือที่อยู่ IP ได้หรือไม่" พูดว่า:

ไม่ - เราไม่รับคำขอใบรับรองสำหรับชื่ออินทราเน็ตหรือที่อยู่ IP อีกต่อไป นี่เป็นมาตรฐานทั่วทั้งอุตสาหกรรมไม่ใช่เฉพาะสำหรับ GoDaddy

^{_{( เน้นที่เหมือง)}}

และนอกจากนี้ยังมี:

เป็นผลให้มีประสิทธิภาพ 1 ตุลาคม 2016 , ผู้รับรอง (CAS) จะต้องเพิกถอนใบรับรอง SSL ที่ใช้ชื่ออินทราเน็ตหรือที่อยู่ IP

^{_{( เน้นที่เหมือง)}}

และ:

แทนการรักษาความปลอดภัยที่อยู่ IPและชื่ออินทราเน็ตคุณควรกำหนดค่าเซิร์ฟเวอร์จะใช้คุณสมบัติครบถ้วนชื่อโดเมน (FQDNs) เช่นwww.coolexample.com

^{_{( เน้นที่เหมือง)}}

เป็นเรื่องที่ดีหลังจากวันที่เพิกถอนข้อบังคับ 1 ตุลาคม 2559 แต่ใบรับรองสำหรับ1.1.1.1ออกเมื่อวันที่ 29 มีนาคม 2018 (แสดงในภาพหน้าจอด้านบน)

เป็นไปได้อย่างไรที่เบราว์เซอร์หลักทั้งหมดคิดว่าhttps://1.1.1.1เป็นเว็บไซต์ HTTPS ที่เชื่อถือได้

— Deltik
แหล่งที่มา

มีค่าแตกต่างกันมากระหว่าง 192.168.0.2 และ 1.1.1.1 หนึ่ง192.168.0.2ไม่ได้อยู่นอกอินทราเน็ตของคุณ หากคุณสร้างใบรับรองที่ลงชื่อด้วยตนเองของคุณเอง192.168.0.2จะเชื่อถือได้และคุณสามารถใช้แนวทางเดียวกันสำหรับ SAN บนโดเมนเช่นfake.domainนั้น น่าจะชี้ให้เห็นว่า1.1.1.1ไม่ใช่ที่อยู่ IP ที่สงวนไว้ดังนั้นจึงปรากฏว่ามี CA ใด ๆ ที่ออกใบรับรอง

— Ramhound

blog.cloudflare.com/announcing-1111 "เรารู้สึกตื่นเต้นในวันนี้ที่จะก้าวไปอีกขั้นสู่ภารกิจนั้นด้วยการเปิดตัว 1.1.1.1 ซึ่งเป็นบริการ DNS สำหรับผู้บริโภคที่มีความเป็นส่วนตัวและรวดเร็วที่สุดสำหรับผู้ใช้อินเทอร์เน็ตครั้งแรก"

ฉันคิดว่าคุณใส่วงเล็บผิดไป อาจหมายถึง 'ต้องเพิกถอนใบรับรอง SSL ที่ใช้อินทราเน็ต (ชื่อหรือที่อยู่ IP)' ไม่ '' ต้องยกเลิกใบรับรอง SSL ที่ใช้ (ชื่ออินทราเน็ต) หรือที่อยู่ IP '

— Maciej Piechotka

@MaciejPiechotka ถูกต้องซึ่งหมายความว่า "ต้องเพิกถอนใบรับรอง SSL ที่ใช้ชื่ออินทราเน็ตหรือที่อยู่ IP ของอินทราเน็ต"

— Ben

BTW ... ไม่มีการยกเลิกเช่นนั้น แท้จริงไม่มีองค์กรใดในโลกที่มีพลังเช่นนั้น สิ่งที่ใกล้เคียงที่สุดที่คุณจะได้รับคือกลุ่มของ CA ที่เห็นด้วยที่จะทำอะไรสักอย่าง

— cHao

คำตอบ:

ภาษาอังกฤษเป็นภาษาที่ไม่ชัดเจน คุณกำลังวิเคราะห์คำเช่นนี้:

(intranet names) or (IP addresses)

คือห้ามการใช้ที่อยู่ IP ตัวเลข ความหมายที่ตรงกับสิ่งที่คุณเห็นคือ:

intranet (names or IP addresses)

เช่นใบรับรองแบนด์สำหรับช่วง IP ส่วนตัวเช่น 10.0.0.0/8, 172.16.0.0/12 และ 192.168.0.0/16 รวมถึงชื่อส่วนตัวที่ไม่ปรากฏบน DNS สาธารณะ

ใบรับรองสำหรับที่อยู่ IP ที่กำหนดเส้นทางได้สาธารณะยังคงได้รับอนุญาตแต่โดยทั่วไปไม่แนะนำสำหรับคนส่วนใหญ่โดยเฉพาะผู้ที่ไม่ได้เป็นเจ้าของ IP แบบคงที่

คำชี้แจงนี้เป็นคำแนะนำไม่ใช่การอ้างสิทธิ์ว่าคุณไม่สามารถรักษาความปลอดภัยที่อยู่ IP (สาธารณะ) ได้

แทนที่จะรักษาความปลอดภัยที่อยู่ IP และชื่ออินทราเน็ตคุณควรกำหนดค่าเซิร์ฟเวอร์ใหม่เพื่อใช้ชื่อโดเมนที่ผ่านการรับรองอย่างเต็มรูปแบบ (FQDNs) เช่น www.coolexample.com

บางทีใครบางคนที่ GoDaddy ตีความตีความถ้อยคำผิด ๆ แต่มีแนวโน้มว่าพวกเขาต้องการให้คำแนะนำของพวกเขาง่ายขึ้นและต้องการแนะนำให้ใช้ชื่อ DNS สาธารณะในใบรับรอง

คนส่วนใหญ่ไม่ใช้ IP แบบคงที่ที่มีเสถียรภาพสำหรับบริการของพวกเขา การให้บริการ DNS เป็นกรณีหนึ่งซึ่งจำเป็นอย่างยิ่งที่จะต้องมี IP ที่มีชื่อเสียงที่มั่นคงแทนที่จะเป็นเพียงชื่อ สำหรับคนอื่นการวาง IP ปัจจุบันของคุณในใบรับรอง SSL จะ จำกัด ตัวเลือกในอนาคตของคุณเพราะคุณไม่สามารถให้คนอื่นเริ่มใช้ IP นั้นได้ พวกเขาสามารถเลียนแบบไซต์ของคุณ

Cloudflare.com มีการควบคุมของทรัพย์สินทางปัญญา 1.1.1.1 ที่อยู่ตัวเองและไม่ได้มีการวางแผนที่จะทำอะไรที่แตกต่างกันกับมันในอนาคตอันใกล้ดังนั้นมันทำให้รู้สึกสำหรับพวกเขาที่จะนำทรัพย์สินทางปัญญาของพวกเขาในใบรับรองของพวกเขา โดยเฉพาะอย่างยิ่งในฐานะผู้ให้บริการ DNSเป็นไปได้มากว่าไคลเอนต์ HTTPS จะเยี่ยมชม URL ของพวกเขาตามหมายเลขมากกว่าไซต์อื่น ๆ

— Peter Cordes
แหล่งที่มา

คำตอบนี้แน่นอนว่าทำไมฉันสับสน ผมส่งข้อเสนอแนะไปยัง GoDaddy ในการปรับปรุงถ้อยคำของบทความ หวังว่าพวกเขาจะแก้ไขได้ที่จะชี้แจง "(ชื่อเซิร์ฟเวอร์ภายใน) หรือ (ที่อยู่ IP ลิขสิทธิ์)" เป็นเอกสารใน CAB ฟอรั่ม

— Deltik

อวดรู้ Cloudflare ไม่ได้ "เจ้าของ" ที่อยู่ 1.1.1.1 มันเป็นเจ้าของโดย APNIC Labsที่ให้สิทธิ์ Cloudflare ในการดำเนินงานแก้ไข DNS จะมีในการแลกเปลี่ยนสำหรับความช่วยเหลือของ CloudFlare ในการศึกษาปริมาณมากของแพ็กเก็ตขยะซึ่งมีการเข้าใจผิดที่ส่งไปยัง IP

— เควิน

@ เควินอย่างอวดรู้ APNIC ก็ไม่ได้เป็นเจ้าของเช่นกัน บทความนี้กล่าวถึงปัญหาความเป็นเจ้าของและใช้วลี "จัดสรรให้" IANA ซึ่งเป็นส่วนหนึ่งของ ICANN จัดสรรช่วงที่อยู่ให้กับ APNIC ซึ่งจัดสรรที่อยู่ดังกล่าวให้กับ Cloudflare ที่อยู่ IPv4 นั้นเป็นวิธีที่แปลกใหม่ในการเขียนตัวเลขจาก 0-4294967296 (หากคุณ ping 16843009 ในระบบปฏิบัติการหลายระบบคุณจะพบว่าคุณได้รับคำตอบจาก 1.1.1.1) และสหรัฐอเมริกาจะไม่รู้จักการเป็นเจ้าของหมายเลข ทำไมชื่อ "Pentium" จึงถูกสร้างขึ้น)

— TOOGAM

สิ่งที่ Intel เป็นกรณีของเครื่องหมายการค้าไม่ใช่ความเป็นเจ้าของ ...

— StarWeaver

@TOOGAM: ฉันหมายความว่าในระบบ whois ที่ฉันเชื่อมโยงเป็นพิเศษ 1.1.1.1 จะถูกจัดสรรให้ APNIC Labs หากคุณกำลังเลือกนิชเกี่ยวกับการจัดสรรกับความเป็นเจ้าของอย่าบิดความหมายของ "การจัดสรร"

— เควิน

102

เอกสาร GoDaddy นั้นผิดพลาด ไม่เป็นความจริงที่ Certificate Authorities (CAs) จะต้องเพิกถอนใบรับรองสำหรับที่อยู่ IP ทั้งหมด ... เพียงแค่จองที่อยู่ IPไว้

^{_{ที่มา: https://cabforum.org/internal-names/}}

CA สำหรับhttps://1.1.1.1คือDigiCertซึ่งในขณะที่เขียนคำตอบนี้จะอนุญาตให้ซื้อใบรับรองไซต์สำหรับที่อยู่ IP สาธารณะ

DigiCert มีบทความเกี่ยวกับสิ่งนี้เรียกว่าการออกใบรับรองเซิร์ฟเวอร์ภายในชื่อ SSL หลังจากปี 2558 :

หากคุณเป็นผู้ดูแลเซิร์ฟเวอร์โดยใช้ชื่อภายในคุณต้องกำหนดค่าเซิร์ฟเวอร์เหล่านั้นใหม่เพื่อใช้ชื่อสาธารณะหรือเปลี่ยนเป็นใบรับรองที่ออกโดย CA ภายในก่อนวันที่ตัดออกในปี 2015 การเชื่อมต่อภายในทั้งหมดที่ต้องใช้ใบรับรองที่เชื่อถือได้แบบสาธารณะต้องทำผ่านชื่อที่เป็นสาธารณะและตรวจสอบได้ (ไม่สำคัญว่าบริการเหล่านั้นจะสามารถเข้าถึงได้แบบสาธารณะ)

^{_{( เน้นที่เหมือง)}}

Cloudflare เพียงแค่ได้รับใบรับรองสำหรับที่อยู่ IP 1.1.1.1จาก CA ที่เชื่อถือได้นั้น

การแยกใบรับรองสำหรับhttps://1.1.1.1แสดงให้เห็นว่าใบรับรองใช้ชื่อทางเลือกของหัวเรื่อง (SAN) เพื่อรวมที่อยู่ IP และชื่อโดเมนสามัญบางส่วน:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

ข้อมูลนี้ยังอยู่ในเครื่องมือดูใบรับรองของ Google Chrome ภายใต้แท็บ "รายละเอียด":

ใบรับรองนี้ใช้ได้สำหรับโดเมนที่จดทะเบียนทั้งหมด (รวมถึงไวด์การ์ด*) และที่อยู่ IP

— Deltik
แหล่งที่มา

ลิงก์บทความของคุณไม่ทำงาน ดีที่สุดในการเสนอราคาข้อมูลที่เกี่ยวข้อง

— Ramhound

ฉันคิดว่ามันไม่ผิดเท่าที่เข้าใจผิด ควรเป็น bracketet เนื่องจาก 'ต้องเพิกถอนใบรับรอง SSL ที่ใช้อินทราเน็ต (ชื่อหรือที่อยู่ IP)' ไม่ '' ต้องยกเลิกใบรับรอง SSL ที่ใช้ (ชื่ออินทราเน็ต) หรือที่อยู่ IP '

— Maciej Piechotka

ดีก็ไม่พูดว่า "ชื่ออินทราเน็ตหรือที่อยู่ IP" ชื่ออินทราเน็ตหรือที่อยู่ IP ของอินทราเน็ต มันไม่ผิดหรอกมันเป็นเพียงแค่ OP เท่านั้นที่เลือกอ่านมัน

— Lightness Races ในวงโคจร

ดูเหมือนว่าชื่อเรื่องของใบรับรองจะมีที่อยู่ IP:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

ตามเนื้อผ้าฉันเดาว่าคุณจะใส่ชื่อ DNS ที่นี่เท่านั้น แต่ Cloudflare ได้ใส่ที่อยู่ IP ไว้ด้วย

https://1.0.0.1/ถือว่าเป็นเบราว์เซอร์ที่ปลอดภัยเช่นกัน

— ไมเคิลแฟรงค์
แหล่งที่มา

ฉันไม่เห็นว่าสิ่งนี้ตอบคำถามได้อย่างไร การโพสต์เนื้อหาของใบรับรองไม่ได้อธิบายว่าทำไมจึงสามารถส่งใบรับรองดังกล่าวได้

— Dmitry Grigoryev

@DmitryGrigoryev: แต่มันก็พิสูจน์ได้ว่าใบรับรองดังกล่าวถูกส่งมอบซึ่งเป็นจุดสำคัญของความสับสนในคำถาม (OP ไม่สามารถหา 1.1.1.1 อยู่ในใบรับรอง)

— Lightness Races ใน Orbit

คำตอบนี้ไม่ได้ตอบคำถามของผู้เขียน ในขณะที่ผู้เขียนเข้าไปในรายละเอียดเพิ่มเติมเกี่ยวกับความสับสนของพวกเขานี้ระบุข้อเท็จจริงใบรับรองที่เป็นปัญหานั้นถูกต้องแน่นอน ตั้งแต่ผู้เขียนคำถามไม่เคยให้สิ่งที่ GoDaddy พูดจริง ๆ เรายากที่จะตอบคำถามนี้ด้วยคำถามอื่นใด

— Ramhound

@DmitryGrigoryev - หากคำถามคือ "ทำไมเบราว์เซอร์ของฉันคิดว่า1.1.1.1ปลอดภัยหรือไม่" (ชื่อของหน้านี้) หรือ "เป็นไปได้อย่างไรที่เบราว์เซอร์หลักทั้งหมดคิดว่า1.1.1.1เป็นเว็บไซต์ HTTPS ที่เชื่อถือได้?" (คำถามจริงเฉพาะภายในเนื้อความ) จากนั้น "เพราะ 1.1.1.1 อยู่ในรายการเป็น SAN ในใบรับรอง" ตอบคำถามนั้นอย่างชัดเจน

— Dave Sherohman

@DmitryGrigoryev " ไม่ได้อธิบายว่าทำไมใบรับรองดังกล่าวถึงสามารถส่งมอบได้ " ดังนั้นคำถามนั้นไม่ชัดเจนเนื่องจากไม่มีข้อมูลใบรับรองที่ครบถ้วนและไม่ชัดเจนว่าเป็นคำถามทางเทคนิคเกี่ยวกับการใช้ TLS ในเบราว์เซอร์หรือคำถามนโยบาย เกี่ยวกับ CA แต่การผสมผสานของทั้งสอง

— curiousguy