題 為什麼我的瀏覽器認為https://1.1.1.1是安全的?


當我訪問 https://1.1.1.1,我使用的任何網絡瀏覽器都認為URL是安全的。

這是Google Chrome顯示的內容:

Google Chrome 65.0.3325.181 address bar showing https://1.1.1.1

通常,當我嘗試通過其IP地址訪問HTTPS站點時,我收到如下安全警告:

Google Chrome 65.0.3325.181 address bar showing https://192.168.0.2

根據我的理解,網站證書需要與域名匹配,但Google Chrome證書查看器不會顯示 1.1.1.1

Certificate Viewer: *.cloudflare-dns.com

GoDaddy的知識庫文章“我可以申請內聯網名稱或IP地址的證書嗎?” 說:

否 - 我們不再接受內部網名稱或IP地址的證書請求。 這是一個行業標準,而不是GoDaddy特有的。

重點 礦)

並且:

結果是, 自2016年10月1日起生效,證書頒發機構(CA) 必須撤銷使用的SSL證書 內聯網名稱或 IP地址

重點 礦)

和:

而不是保護IP地址 和Intranet名稱,您應該重新配置服務器以使用完全限定域名(FQDN),例如 www.coolexample.com

重點 礦)

在強制撤銷日期2016年10月1日之後,它仍然很好,但是證書是 1.1.1.1 於2018年3月29日發布(如上圖所示)。


所有主流瀏覽器都有可能這樣想 https://1.1.1.1 是一個值得信賴的HTTPS網站?


128
2018-04-12 04:05


起源


值得指出的是192.168.0.2和1.1.1.1之間存在巨大差異。一 192.168.0.2 在Intranet之外不存在。如果您創建了自己的自簽名證書 192.168.0.2 是可信的,你可以在像這樣的域上使用相同的SAN方法 fake.domain。值得指出的是 1.1.1.1 不是保留的IP地址,因此看來,任何CA都會頒發證書。 - Ramhound
blog.cloudflare.com/announcing-1111 “我們今天很高興能夠通過推出1.1.1.1 - 互聯網上最快,隱私第一的消費者DNS服務 - 朝著這一使命邁出新的一步。”
我認為你把錯誤的句子括起來了。它們可能意味著“必須撤銷使用Intranet(名稱或IP地址)的SSL證書”而不是“必須撤銷使用(Intranet名稱)或IP地址的SSL證書”。 - Maciej Piechotka
@MaciejPiechotka是正確的,這意味著“必須撤銷使用內部網名稱或內部網IP地址的SSL證書” - Ben
順便說一句......沒有強制撤銷這樣的事情。從字面上看,地球上沒有任何組織擁有這種力量。你得到的最接近的是一群同意做某事的CA. - cHao


答案:


英語含糊不清。你正在解析它:

(intranet names) or (IP addresses)

即完全禁止使用數字IP地址。與您所看到的匹配的含義是:

intranet (names or IP addresses)

即禁止證書 私有IP範圍 例如10.0.0.0 / 8,172.16.0.0 / 12和192.168.0.0/16,以及公共DNS上不可見的私有名稱。

仍允許使用可公共路由的IP地址的證書, 對於大多數人來說,一般不推薦,特別是那些不擁有靜態IP的人。


本聲明是建議,而不是您的主張 不能 保護(公共)IP地址。

您應該重新配置服務器以使用完全限定域名(FQDN),而不是保護IP地址和Intranet名稱,例如www.coolexample.com

也許GoDaddy的某個人誤解了措辭,但更有可能他們希望保持簡單的建議,並且建議在證書中使用公共DNS名稱。

大多數人不使用穩定的靜態IP進行服務。提供DNS服務就是這樣一種情況,即擁有一個穩定的知名IP而不僅僅是一個名稱是非常必要的。 對於其他任何人來說,將您當前的IP放入SSL證書會限制您未來的選擇,因為您無法讓其他人開始使用該IP。他們可以冒充您的網站。

Cloudflare.com 有控制權 1.1.1.1 IP地址本身,並且在可預見的將來不打算做任何不同的事情,所以這是有道理的 對他們來說 把他們的知識產權放入他們的證書。特別 作為DNS提供商,HTTPS客戶端更有可能按號碼訪問其URL而不是任何其他站點。


92
2018-04-12 23:17



這恰恰解釋了我為什麼感到困惑。我向GoDaddy發出了一個建議,以改善其措辭 這篇文章。希望他們能夠修復它以澄清“(內部服務器名稱)或(保留的IP地址)”,如文檔所述 在CAB論壇上。 - Deltik
諷刺的是,Cloudflare 才不是 “擁有”1.1.1.1地址。它是 由APNIC Labs擁有誰授予Cloudflare在那裡運行DNS解析器的權限 以換取Cloudflare協助研究大量垃圾包,這些垃圾包被錯誤地發送到該IP。 - Kevin
小心翼翼地,@凱文,APNIC也不擁有它。 本文 提到所有權問題,並使用“分配給”這一短語。作為ICANN的一部分,IANA將地址範圍分配給APNIC,後者將此類地址分配給Cloudflare。 IPv4地址只是編寫0-4294967296號碼的一種奇特方式(如果在許多操作系統中ping 16843009,那麼你會發現你得到了1.1.1.1的響應)並且美國不會識別擁有一個號碼(因此為什麼叫“奔騰”這個名字? - TOOGAM
英特爾的事情是商標,而非所有權...... - StarWeaver
@TOOGAM:我的意思是,在我明確鏈接的whois系統中,1.1.1.1被分配給APNIC實驗室。如果您要選擇有關分配與所有權的尼特,請不要扭曲“已分配”的含義。 - Kevin


GoDaddy文檔有誤。證書頒發機構(CA)必須撤銷所有IP地址的證書...... 只保留IP地址

資源: https://cabforum.org/internal-names/

CA for https://1.1.1.1 是 DigiCert在撰寫本答案時,它允許購買公共IP地址的站點證書。

DigiCert有一篇關於此的文章 2015年後內部服務器名稱SSL證書頒發

如果您是使用內部名稱的服務器管理員,則需要重新配置這些服務器以使用公共名稱,或者在2015年截止日期之前切換到由內部CA頒發的證書。需要公開信任證書的所有內部連接必須通過名稱完成 公開和可核實的 (這些服務是否可公開訪問並不重要)。

重點 礦)

Cloudflare只是獲得了他們IP地址的證書 1.1.1.1 來自那個受信任的CA.

解析證書 https://1.1.1.1 顯示證書使用主題備用名稱(SAN)來包含一些IP地址和普通域名:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

此信息也位於“詳細信息”標籤下的Google Chrome證書查看器中:

Certificate Viewer: Details: *.cloudflare-dns.com

此證書對所有列出的域(包括通配符)有效 *)和IP地址。


99
2018-04-12 04:41



您的文章鏈接似乎不起作用。最好引用相關信息。 - Ramhound
我認為這並不像誤導一樣錯誤。它應該是bracketet'必須撤銷使用Intranet(名稱或IP地址)的SSL證書'而不是''必須撤銷使用(Intranet名稱)或IP地址的SSL證書'。 - Maciej Piechotka
好吧,它 不 說“內聯網名稱或IP地址”。 Intranet名稱或Intranet IP地址。這沒有錯,只是OP只選擇性地閱讀它。 - Lightness Races in Orbit


看起來證書主題Alt名稱包含IP地址:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

傳統上我想你只會把DNS名稱放在這裡,但Cloudflare也把他們的IP地址放在這裡。

https://1.0.0.1/ 瀏覽器也認為它是安全的。


43
2018-04-12 04:22



我不知道這是如何回答這個問題的。發布證書的內容並不能解釋為什麼可以交付這樣的證書。 - Dmitry Grigoryev
@DmitryGrigoryev:但它確實證明了這樣的證書 是 交付,這是一個混亂的問題(OP無法找到證書中列出的1.1.1.1) - Lightness Races in Orbit
這個答案確實回答了作者的問題。雖然作者對其混淆進行了更詳細的說明,但這確定了這一事實,所涉及的證書確實有效。自問題的作者以來,從來沒有向我們提供過GoDaddy實際所說的內容,很難用其他任何方式回答這個問題。 - Ramhound
@DmitryGrigoryev - 如果問題是“為什麼我的瀏覽器會這麼想 1.1.1.1 安全嗎?“(本頁的標題)或”所有主流瀏覽器都有可能這樣認為 1.1.1.1 是一個值得信賴的HTTPS網站?“(正文中唯一的實際問題),然後”因為1.1.1.1在證書中被列為SAN“明確回答了這個問題。 - Dave Sherohman
@DmitryGrigoryev“沒有解釋為什麼要交付這樣的證書“那麼這個問題還不清楚,因為它甚至不包含完整的證書信息,並且顯然不是關於瀏覽器中TLS實現的技術問題或關於CA的政策問題,而是兩者的混合 - curiousguy