سؤال لماذا يعتقد المتصفح الخاص بي أن https://1.1.1.1 آمن؟


عندما أزور https://1.1.1.1، أي متصفح ويب أستخدمه يعتبر عنوان URL آمنًا.

هذا ما يعرضه Google Chrome:

Google Chrome 65.0.3325.181 address bar showing https://1.1.1.1

عادةً ، عندما أحاول زيارة موقع HTTPS عبر عنوان IP الخاص به ، أحصل على تحذير أمان مثل هذا:

Google Chrome 65.0.3325.181 address bar showing https://192.168.0.2

من خلال فهمي ، يجب أن تطابق شهادة الموقع النطاق ، ولكن لا يظهر عارض شهادات Google Chrome 1.1.1.1:

Certificate Viewer: *.cloudflare-dns.com

مقالة معرفة قاعدة GoDaddy "هل يمكنني طلب شهادة لاسم إنترانت أو عنوان IP؟" يقول:

لا - لم نعد نقبل طلبات الشهادة لأسماء إنترانت أو عناوين IP. هذا هو معيار على مستوى الصناعة، وليس واحد محدد ل GoDaddy.

(تشديد الخاص بي)

و أيضا:

كنتيجة ل، اعتبارًا من 1 من تشرين الأول 2016، سلطات التصديق (CA) يجب إلغاء شهادات SSL التي تستخدم أسماء إنترانت أو عناوين الانترنت بروتوكول.

(تشديد الخاص بي)

و:

بدلا من تأمين عناوين IP وأسماء إنترانت ، يجب إعادة تكوين الخوادم لاستخدام أسماء النطاق المؤهلة بالكامل (FQDN) ، مثل www.coolexample.com.

(تشديد الخاص بي)

انها جيدة بعد تاريخ الإلغاء الإلزامي 01 أكتوبر 2016 ، ومع ذلك شهادة ل 1.1.1.1 صدر في 29 مارس 2018 (كما هو موضح في الصورة أعلاه).


كيف من الممكن أن جميع المتصفحات الرئيسية تعتقد ذلك https://1.1.1.1 هو موقع HTTPS موثوق به؟


128
2018-04-12 04:05


الأصل


الجدير بالذكر أن هناك فرق كبير بين 192.168.0.2 و 1.1.1.1. واحد 192.168.0.2 غير موجود خارج الإنترانت. إذا أنشأت شهادة موقعة ذاتيًا 192.168.0.2 سيكون موثوقًا به ، ويمكنك استخدام نفس الأسلوب الخاص بـ SAN ، على مجال مثل fake.domain. يستحق الإشارة إلى ذلك 1.1.1.1 ليس عنوان IP محجوز ، لذلك يبدو أن أي مرجع مصدق قد أصدر الشهادة. - Ramhound
blog.cloudflare.com/announcing-1111 "نحن متحمسون اليوم لاتخاذ خطوة أخرى نحو تلك المهمة مع إطلاق 1.1.1.1 - خدمة الإنترنت الأسرع ، والخصوصية الأولى للمستهلك DNS".
أعتقد أنك قوس جملة على خطأ. من المحتمل أنها تعني "يجب إلغاء شهادات SSL التي تستخدم الإنترانت (أسماء أو عناوين IP)" لا يجب أن "تلغي شهادات SSL التي تستخدم (أسماء إنترانت) أو عناوين IP". - Maciej Piechotka
MaciejPiechotka هو الصحيح ، وهذا يعني "يجب إلغاء شهادات SSL التي تستخدم أسماء إنترانت أو عناوين IP إنترانت" - Ben
راجع للشغل ... لا يوجد شيء مثل إبطال إلزامي. حرفيا لا يوجد منظمة على الأرض لديها هذا النوع من القوة. أقرب ما تحصل عليه هو مجموعة من CAs توافق على القيام بشيء ما. - cHao


الأجوبة:


اللغة الإنجليزية غامضة. لقد تم تحليلها على النحو التالي:

(intranet names) or (IP addresses)

أي حظر استخدام عناوين IP الرقمية تمامًا. المعنى الذي يطابق ما تراه هو:

intranet (names or IP addresses)

على سبيل المثال ، شهادات الحظر الخاصة بـ نطاقات IP الخاصة مثل 10.0.0.0/8 و 172.16.0.0/12 و 192.168.0.0/16 ، وكذلك للأسماء الخاصة غير المرئية على DNS العام.

لا يزال مسموحًا باستخدام شهادات عناوين IP القابلة للت لا ينصح به عادةً لمعظم الأشخاص ، خاصة أولئك الذين لا يمتلكون أيضًا عنوان IP ثابتًا.


هذا البيان هو نصيحة ، وليس ادعاء بأنك لا يمكن تأمين عنوان IP (عام).

بدلاً من تأمين عناوين IP وأسماء إنترانت ، يجب إعادة تكوين الخوادم لاستخدام أسماء المجالات المؤهلة Fully (FQDN) ، مثل www.coolexample.com

ربما كان شخص ما في GoDaddy يسيء تفسير الصياغة ، ولكن على الأرجح أرادوا الإبقاء على نصائحهم بسيطة ، وأرادوا التوصية باستخدام أسماء DNS العامة في الشهادات.

معظم الناس لا يستخدمون IP ثابت ثابت لخدمتهم. إن تقديم خدمات DNS هو الحالة الوحيدة التي يكون فيها من الضروري حقًا أن يكون لديك IP ثابت معروف بدلاً من مجرد اسم. بالنسبة لأي شخص آخر ، فإن وضع عنوان IP الحالي في شهادة SSL سيقيد خياراتك المستقبلية ، لأنك لا تستطيع السماح لشخص آخر بالبدء في استخدام عنوان IP هذا. يمكنهم انتحال شخصية موقعك.

Cloudflare.com لديه السيطرة على عنوان بروتوكول الإنترنت 1.1.1.1 أنفسهم ، وليس التخطيط للقيام بأي شيء مختلف معها في المستقبل المنظور ، لذلك فمن المنطقي لهم لوضع IP الخاص بهم في شهاداتهم. خصوصا كمزود DNS، من المرجح أن عملاء HTTPS سيزورون عنوان URL الخاص بهم برقم أكثر من أي موقع آخر.


92
2018-04-12 23:17



هذا يجيب بالضبط لماذا كنت مرتبكة. أرسلت اقتراحًا إلى GoDaddy لتحسين صياغة المقالة. نأمل أن يقوموا بإصلاحه لتوضيح "(اسم الخادم الداخلي) أو (عنوان IP المحجوز)" كما هو موثق على منتدى CAB. - Deltik
بتدقيق ، Cloudflare لا "تملك" عنوان 1.1.1.1. أنه تملكها APNIC Labs، الذين أعطوا Cloudflare إذن لتشغيل محلل DNS هناك في مقابل الحصول على مساعدة Cloudflare في دراسة حجم كبير من حزم القمامة التي يتم توجيهها عن طريق الخطأ إلى هذا IP. - Kevin
بشكل يدوي ، @ Kevin ، APNIC لا يمتلكها أيضًا. هذه المقالة يذكر مسألة الملكية ، ويستخدم عبارة "المخصصة ل". قامت IANA ، وهي جزء من ICANN ، بتخصيص نطاق العنوان لـ APNIC الذي قام بتخصيص هذه العناوين إلى Cloudflare. عناوين IPv4 هي ببساطة طريقة رائعة لكتابة رقم من 0-4294967296 (إذا تم تنفيذ الأمر ping 16843009 في العديد من أنظمة التشغيل ، فستجد أنك تحصل على رد من 1.1.1.1) ولن تتعرف الولايات المتحدة على امتلاك رقم (وبالتالي لماذا تم تسمية "Pentium" - TOOGAM
كان الشيء إنتل حالة العلامة التجارية ، وليس ملكية ... - StarWeaver
@ TOOGAM: أعني أنه في نظام whois ، الذي ارتبط به تحديدًا ، يتم تخصيص 1.1.1.1 إلى APNIC Labs. إذا كنت ستقوم باختيار القمل حول التخصيص مقابل الملكية ، فلا تحرف معنى "المخصص". - Kevin


وثائق GoDaddy مخطئة. ليس صحيحًا أنه يجب على "المراجع المصدقة" (CAs) سحب الشهادات لكافة عناوين IP ... مجرد عناوين IP محفوظة.

مصدر: https://cabforum.org/internal-names/

CA ل https://1.1.1.1 كان DigiCertوالتي تسمح حتى كتابة هذه الإجابة بشراء شهادات مواقع لعناوين IP العامة.

DigiCert لديه مقال حول هذا يسمى إصدار شهادة خادم SSL الداخلي بعد عام 2015:

إذا كنت مسؤولاً عن الخادم باستخدام أسماء داخلية ، فستحتاج إما إلى إعادة تكوين هذه الخوادم لاستخدام اسم عام ، أو التبديل إلى شهادة صادرة عن مرجع مصدق داخلي قبل تاريخ قطع 2015. يجب أن تتم جميع الاتصالات الداخلية التي تتطلب شهادة موثوق بها من قبل العامة من خلال الأسماء الموجودة العامة والتحقق منها (لا يهم إذا كانت هذه الخدمات متاحة للجمهور).

(تشديد الخاص بي)

Cloudflare ببساطة حصلت على شهادة لعنوان IP الخاص بهم 1.1.1.1 من هذا المرجع الموثوق به.

تحليل الشهادة ل https://1.1.1.1 تكشف أن الشهادة تستخدم أسماء بديلة للأسماء (SANs) لتشمل بعض عناوين IP وأسماء النطاقات العادية:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

هذه المعلومات موجودة أيضًا في عارض شهادات Google Chrome ضمن علامة التبويب "التفاصيل":

Certificate Viewer: Details: *.cloudflare-dns.com

هذه الشهادة صالحة لجميع المجالات المدرجة (بما في ذلك حرف البدل *) وعناوين IP.


99
2018-04-12 04:41



يبدو أن رابط المقالة الخاص بك لا يعمل. الأفضل أن أقتبس المعلومات ذات الصلة. - Ramhound
أعتقد أنه ليس خطأ بقدر مضلل. يجب أن يكون bracketet كـ "يجب إلغاء شهادات SSL التي تستخدم الإنترانت (أسماء أو عناوين IP)" لا يجب أن "" يجب إبطال شهادات SSL التي تستخدم (أسماء إنترانت) أو عناوين IP ". - Maciej Piechotka
حسنا ، هذا هل قل "أسماء إنترانت أو عناوين IP". أسماء إنترانت أو عناوين IP للإنترانت. انها ليست خاطئة ، انها مجرد OP فقط قراءتها بشكل انتقائي. - Lightness Races in Orbit


يبدو أن اسم الشهادة Alt Name يتضمن عنوان IP:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

أظن أنك كنت ستضع أسماء DNS فقط هنا ، لكن Cloudflare وضعت عناوين IP الخاصة بها أيضًا.

https://1.0.0.1/ يعتبر أيضًا آمنًا بواسطة المتصفحات.


43
2018-04-12 04:22



لا أرى كيف يجيب هذا السؤال. لا يفسر نشر محتوى الشهادة سبب تسليم مثل هذه الشهادة. - Dmitry Grigoryev
DmitryGrigoryev: لكنها تثبت أن مثل هذه الشهادة كان تم تسليمها ، والتي كانت نقطة كبيرة من الارتباك في السؤال (تعذر العثور على OP 1.1.1.1 في الشهادة) - Lightness Races in Orbit
هذا الجواب يجيب بالفعل على سؤال المؤلف. في حين أن المؤلف ذهب إلى مزيد من التفاصيل فيما يتعلق بالارتباك ، فهذا يعرِّف الحقيقة ، فالشهادة المعنية صالحة بالفعل. منذ كاتب السؤال ، لم يقدم لنا ما قاله GoDaddy ، من الصعب الإجابة على السؤال مع أي شيء آخر. - Ramhound
DmitryGrigoryev - إذا كان السؤال هو "لماذا يعتقد المتصفح الخاص بي ذلك 1.1.1.1 هل هو آمن؟ "(عنوان هذه الصفحة) أو" كيف يمكن أن تعتقد كل المتصفحات الرئيسية ذلك 1.1.1.1 هو موقع HTTPS موثوق به؟ "(السؤال الفعلي الوحيد داخل الجسم) ، ثم" لأن 1.1.1.1 مدرج باعتباره SAN في الشهادة "يجيب بوضوح على هذا السؤال. - Dave Sherohman
DmitryGrigoryev "لا يفسر لماذا يمكن تسليم مثل هذه الشهادة"بعد ذلك ، يصبح السؤال غير واضح ، حيث إنه لا يحتوي حتى على معلومات الشهادة الكاملة ، وليس من الواضح أنه سؤال تقني حول تنفيذ TLS في المتصفحات أو سؤال يتعلق بالسياسة حول CA ، ولكنه مزيج من الاثنين - curiousguy