Tarayıcım neden https://1.1.1.1'in güvenli olduğunu düşünüyor?


133

Https://1.1.1.1 adresini ziyaret ettiğimde , kullandığım herhangi bir web tarayıcısı URL'yi güvenli buluyor.

Google Chrome’un gösterdiği şey:

Google Chrome 65.0.3325.181 adres çubuğu, https://1.1.1.1

Normal olarak, IP adresi üzerinden bir HTTPS sitesini ziyaret etmeye çalıştığımda, şöyle bir güvenlik uyarısı alıyorum:

Google Chrome 65.0.3325.181 adres çubuğu, https://192.168.0.2

Anladığım kadarıyla, site sertifikası etki alanıyla eşleşmeli, ancak Google Chrome Sertifika Görüntüleyici 1.1.1.1şunları göstermiyor :

Sertifika Görüntüleyici: * .cloudflare-dns.com

GoDaddy'nin bilgi tabanı makalesi "İntranet adı veya IP adresi için sertifika isteyebilir miyim?" diyor:

Hayır - artık intranet adları veya IP adresleri için sertifika isteklerini kabul etmiyoruz. Bu, GoDaddy'ye özgü olmayan, endüstri çapında bir standarttır .

( vurgu madeni)

Ve ayrıca:

Sonuç olarak, 1 Ekim 2016 tarihinden itibaren geçerli olmak üzere , Sertifika Yetkilileri (CA) , intranet adlarını veya IP adreslerini kullanan SSL sertifikalarını iptal etmelidir .

( vurgu madeni)

Ve:

IP adreslerini ve intranet adlarını güvence altına almak yerine, sunucuları, www.coolexample.com gibi Tam Nitelikli Etki Alanı Adlarını (FQDN) kullanacak şekilde yeniden yapılandırmalısınız .

( vurgu madeni)

01 Ekim 2016 tarihinde zorunlu iptal tarihinden sonra ancak 1.1.1.129 Mart 2018 tarihinde sertifika verilmiştir (yukarıdaki ekran görüntüsünde gösterilmiştir).


Nasıl tüm büyük tarayıcılar düşünüyorum mümkündür https://1.1.1.1 güvenilir bir HTTPS web sitesi nedir?


10
192.168.0.2 ve 1.1.1.1 arasında büyük bir fark olduğu görülüyor. Bir tanesi 192.168.0.2intranetinizin dışında yok. Kendi imzalı sertifikanızı oluşturduysanız, 192.168.0.2güvenilir olur ve SAN için aynı yaklaşımı, benzer bir alanda kullanabilirsiniz fake.domain. 1.1.1.1Ayrılmış bir IP adresi olmadığını göstermeye değer , bu yüzden göründüğü gibi, herhangi bir CA sertifikayı vermiş olacaktı.
Ramhound

12
blog.cloudflare.com/announcing-1111 "Biz 1.1.1.1 lansmanıyla o misyon doğru bir adım daha çekmek için bugün çok heyecanlıyız -. İnternetin en hızlı, gizlilik-ilk tüketici DNS hizmeti"

11
Bence cümleyi yanlış ayarladın. Muhtemelen 'intranet kullanan SSL sertifikalarını iptal etmeli (adlar veya IP adresleri)' değil '' (intranet adları) veya IP adreslerini kullanan SSL sertifikalarını iptal etmelisiniz 'anlamına geliyordu.
Maciej Piechotka

1
@ MaciejPiechotka doğrudur, bunun anlamı "intranet adlarını veya intranet IP adreslerini kullanan SSL sertifikalarını iptal etmek gerekir"
Ben

2
BTW ... zorunlu iptal diye bir şey yoktur. Kelimenin tam anlamıyla, dünyadaki hiçbir organizasyonun böyle bir gücü yoktur. En yakın şey bir şey yapmayı kabul eden bir grup CA.
cHao

Yanıtlar:


95

İngilizce belirsizdir . Bunu böyle ayrıştırıyordun:

(intranet names) or (IP addresses)

yani sayısal IP adreslerinin kullanımının tamamen yasaklanması. Gördüklerinizle eşleşen anlam şudur:

intranet (names or IP addresses)

yani , 10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16 gibi özel IP aralıkları ile kamuya açık DNS'de görünmeyen özel adlar için sertifikaları yasaklayın .

Genel olarak yönlendirilebilir IP adresleri için sertifikalara hala izin verilmektedir, ancak çoğu insan için, özellikle de statik bir IP'ye sahip olmayanlar için genel olarak önerilmez.


Bu açıklama bir öneri (halka açık) IP adresi alamayacağınız iddiası değil .

IP adreslerini ve intranet adlarını güvenceye almak yerine, sunucuları, www.coolexample.com gibi Tam Nitelikli Etki Alanı Adlarını (FQDN'ler) kullanacak şekilde yeniden yapılandırmalısınız.

Belki GoDaddy'deki bir kişi ifadeleri yanlış yorumluyordu, ancak daha büyük olasılıkla tavsiyelerini basit tutmak istediler ve halka açık DNS adlarını sertifikalarda kullanmanızı önerdiler.

Çoğu insan hizmetleri için sabit bir statik IP kullanmaz. DNS hizmetlerini sunmak, sadece bir ad yerine kararlı bir şekilde iyi bilinen bir IP'ye sahip olmanın gerçekten gerekli olduğu durumdur. Bir başkası için, geçerli IP’nizi SSL sertifikanıza koymak gelecekteki seçeneklerinizi kısıtlar çünkü başka birinin bu IP’yi kullanmasına başlayamazsınız. Sitenizi taklit edebilirler.

Cloudflare.com kontrol ediyor 1.1.1.1 IP kendilerini ele alır ve öngörülebilir gelecekte onunla farklı bir şey yapmak için planlamadığını, bu nedenle mantıklı onları için onların sertifika kendi IP koymak. Özellikle bir DNS sağlayıcısı olarak , HTTPS istemcilerinin URL'lerini diğer sitelere göre numaralarıyla ziyaret etmesi daha olasıdır.


5
Bu tam olarak neden kafamın karıştığını gösteriyor. Makalenin ifadesini geliştirmek için GoDaddy'ye bir öneri gönderdim . Umarım CAB Forumunda belirtildiği gibi "(dahili sunucu adı) veya (ayrılmış IP adresi)" açıklamasını düzelteceklerdir .
Deltik

14
Bilgi niteliğinde olan Cloudflare , 1.1.1.1 adresini " sahip değildir ". Bu edilir APNIC Labs tarafından sahip olunan orada bir DNS çözücü çalışmasına Cloudflare izin verdi, yanlışlıkla o IP ele alınmaktadır çöp paketleri büyük hacimli çalışılmasında CloudFlare'nın yardım karşılığında .
Kevin,

12
Bilgi niteliğinde, @Kevin, APNIC de ona sahip değil. Bu makale , mülkiyet sorununa değinmekte ve "tahsis edilmiş" ifadesini kullanmaktadır. ICANN'in bir parçası olan IANA, bu adresleri Cloudflare'e tahsis eden APNIC'e adres aralığını tahsis etti. IPv4 adresleri, 0-4294967296'dan sayı yazmanın çok süslü bir yoludur (eğer çoğu işletim sisteminde 16843009'a ping yaparsanız, 1.1.1.1'den bir yanıt aldığınızı göreceksiniz) ve ABD bir sayıya sahip olmayı tanımayacaktır (dolayısıyla neden "Pentium" adı verildi)
TOOGAM

5
Intel, mülkiyet değil bir ticari marka
durumuydu

3
@TOOGAM: Yani, özellikle bağladığım whois sisteminde, 1.1.1.1'in APNIC Labs'a tahsis edildiğini kastediyorum. Tahsisat ve mülkiyete ilişkin nitelikleri seçecekseniz, "tahsis edilen" anlamını çevirmeyin.
Kevin,

102

GoDaddy belgeleri yanlıştır. Sertifika Yetkilileri'nin (CA) tüm IP adresleri için sertifikaları iptal etmesi gerektiği doğru değil… yalnızca ayrılmış IP adresleri .

Kaynak: https://cabforum.org/internal-names/

İçin CA https://1.1.1.1 oldu DigiCert bu cevabın yazının yazıldığı gibi, genel IP adresleri için satın alma sitesi sertifikalarını izin vermez.

DigiCert'in 2015'ten sonra Dahili Sunucu Adı SSL Sertifikası İhracı adlı bir makale var :

Dahili adları kullanan bir sunucu yöneticisiyseniz, bu sunucuları bir genel ad kullanacak şekilde yeniden yapılandırmanız veya 2015 kesim tarihinden önce bir iç CA tarafından verilen bir sertifikaya geçmeniz gerekir. Genel olarak güvenilen bir sertifika gerektiren tüm dahili bağlantılar, herkese açık ve doğrulanabilir adlarla yapılmalıdır (bu hizmetlerin halka açık olup olmadığı önemli değildir).

( vurgu madeni)

Cloudflare 1.1.1.1, güvenilen CA'dan IP adresleri için bir sertifika aldı .

Sertifikanın https://1.1.1.1 için ayrıştırılması, sertifikanın bazı IP adreslerini ve normal alan adlarını kapsayacak şekilde Konu Alternatif Adlarını (SAN) kullandığını ortaya koymaktadır:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Bu bilgiler ayrıca "Ayrıntılar" sekmesi altındaki Google Chrome Sertifika Görüntüleyici’de de bulunmaktadır:

Sertifika Görüntüleyici: Ayrıntılar: * .cloudflare-dns.com

Bu sertifika listelenen tüm alanlar (joker karakterler dahil *) ve IP adresleri için geçerlidir.


Makale bağlantınız çalışmıyor gibi görünüyor. İlgili bilgileri alıntı yapmak en iyisidir.
Ramhound

11
Bence yanıltıcı olarak yanlış değil. 'İntranet kullanan SSL sertifikalarını iptal etmeli (adlar veya IP adresleri)' değil '' (intranet adları) veya IP adreslerini kullanan SSL sertifikalarını iptal etmeli 'dirsekleri olmalı.
Maciej Piechotka

3
Eh, o yapar "intranet adlarını veya IP adreslerini" derler. İntranet adları veya intranet IP adresleri. Yanlış değil, sadece OP sadece seçici olarak okuyor.
Orbit'teki Hafiflik Yarışları,

45

Sertifika Konusu Alt Adı IP adresini içeriyor gibi görünüyor:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Geleneksel olarak, buraya yalnızca DNS Adları koyacağınızı sanıyorum, ancak Cloudflare IP Adreslerini de yerleştirdi.

https://1.0.0.1/ , tarayıcılar tarafından da güvenli kabul edilir.


1
Bunun soruyu nasıl cevapladığını anlamıyorum. Bir sertifikanın içeriğinin kaydedilmesi, böyle bir sertifikanın neden verilebileceğini açıklamaz.
Dmitry Grigoryev

18
@DmitryGrigoryev: Ama böyle bir sertifika kanıtlamak gelmez edilmiştir (OP 1.1.1.1 sertifika listelenen bulamadım) Söz konusu karışıklık önemli noktası olduğu, teslim
Orbit Açıklık Races

3
Bu cevap gerçekten de yazarın sorusuna cevap veriyor. Yazar, kafa karışıklığı ile ilgili daha ayrıntılı bilgi verirken, bu, söz konusu sertifikanın gerçekten geçerli olduğu gerçeğini tanımlar. Sorunun yazarı bu yana, GoDaddy'nin gerçekte söylediklerini bize asla sağlamadı, soruyu başka bir şeyle cevaplamak zordu.
Ramhound

4
@DmitryGrigoryev - Sorunuz, "Neden tarayıcı bu düşünüyor 1.1.1.1 güvenlidir?" (bu sayfanın başlığı) veya "Tüm büyük tarayıcıların 1.1.1.1'in güvenilir bir HTTPS web sitesi olduğunu düşünmesi nasıl mümkün olabilir ?" (Vücuttaki tek gerçek soru), daha sonra “1.1.1.1 sertifikada SAN olarak listelendiği için” bu soruyu açıkça cevaplıyor.
Dave Sherohman

@DmitryGrigoryev " böyle bir sertifikanın neden verilebileceğini" açıklamıyor " , o zaman soru belirsizdir, çünkü tüm sertifika bilgilerini içermez ve tarayıcılarda TLS uygulaması ile ilgili teknik bir soru ya da bir politika sorusu değildir. CA hakkında, ancak her ikisinin bir karışımı
curiousguy
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.