Ketika saya mengunjungi https://1.1.1.1, setiap web browser yang saya gunakan menganggap URL untuk menjadi aman.
Ini adalah apa yang Google Chrome menunjukkan:
Biasanya, ketika saya mencoba untuk mengunjungi situs HTTPS melalui alamat IP-nya, saya mendapatkan peringatan keamanan seperti ini:
Dari pemahaman saya, situs sertifikat harus sesuai dengan domain, tetapi Google Chrome Sertifikat Viewer tidak menunjukkan 1.1.1.1
:
GoDaddy's artikel pengetahuan "saya Bisa meminta sertifikat untuk nama intranet atau IP address?" mengatakan:
Tidak - kami tidak lagi menerima permintaan sertifikat baik untuk intranet nama atau alamat IP. Ini adalah industri-lebar standar, tidak satu tertentu ke GoDaddy.
(penekanan tambang)
Dan juga:
Sebagai hasilnya, efektif 1 oktober 2016, Otoritas Sertifikasi (ca) harus mencabut sertifikat SSL yang digunakan nama intranet atau alamat IP.
(penekanan tambang)
Dan:
Bukannya mengamankan alamat IP dan nama-nama intranet, anda harus mengkonfigurasi server untuk menggunakan Fully Qualified Domain Names (FQDNs), seperti www.coolexample.com.
(penekanan tambang)
It's baik setelah wajib pencabutan tanggal 01 oktober 2016, namun sertifikat untuk 1.1.1.1
dikeluarkan pada 29 Maret 2018 (yang ditunjukkan pada screenshot di atas).
Bagaimana mungkin itu semua browser utama berpikir bahwa https://1.1.1.1 terpercaya situs HTTPS?
GoDaddy dokumentasi adalah keliru. Hal ini tidak benar bahwa Otoritas Sertifikasi (ca) harus mencabut sertifikat untuk semua alamat IP... hanya diperuntukkan alamat IP.
Sumber: https://cabforum.org/internal-names/
CA untuk https://1.1.1.1 adalah DigiCert, yang saat tulisan ini menjawab, tidak memungkinkan membeli sertifikat situs untuk alamat IP publik.
DigiCert memiliki sebuah artikel tentang hal ini disebut Internal Server Nama Sertifikat SSL Penerbitan Setelah 2015:
Jika anda adalah seorang admin server menggunakan nama-nama internal, anda perlu mengkonfigurasi server tersebut menggunakan nama umum, atau beralih ke sertifikat yang dikeluarkan oleh CA internal sebelum 2015 tanggal cutoff. Semua koneksi internal yang memerlukan publik-sertifikat terpercaya harus dilakukan melalui nama-nama yang umum dan dapat diverifikasi (tidak masalah jika layanan tersebut dapat diakses publik).
(penekanan tambang)
Cloudflare hanya mendapat sertifikat untuk alamat IP mereka 1.1.1.1
dari yang terpercaya CA.
Parsing sertifikat untuk https://1.1.1.1 mengungkapkan bahwa sertifikat tersebut menggunakan nama-Nama Alternatif Subjek (SANs) untuk mencakup beberapa alamat IP dan nama domain:
deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
X509v3 Subject Alternative Name:
DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001
Informasi ini juga di Google Chrome Sertifikat Viewer di bawah "Rincian" tab:
Sertifikat ini berlaku untuk semua domain yang terdaftar (termasuk wildcard *
) dan alamat IP.
Bahasa inggris * ambigu**. Kau parsing seperti ini:
(intranet names) or (IP addresses)
yaitu melarang penggunaan angka alamat IP seluruhnya. Makna yang sesuai dengan apa yang anda're melihat adalah:
intranet (names or IP addresses)
yaitu larangan sertifikat untuk pribadi rentang IP seperti 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16, serta untuk pribadi nama-nama yang tidak't terlihat pada public DNS.
Sertifikat untuk publik alamat IP routable masih diperbolehkan, hanya umumnya tidak disarankan untuk sebagian besar orang, terutama mereka yang don't juga memiliki IP statis.
Pernyataan ini adalah saran, bukan mengklaim bahwa anda dapat't aman (public) IP address.
alih-Alih mengamankan alamat IP dan nama intranet, anda harus mengkonfigurasi server untuk menggunakan Fully Qualified Domain Names (FQDNs), seperti www.coolexample.com
Mungkin seseorang di GoDaddy adalah salah mengartikan kata-kata, tetapi lebih besar kemungkinan mereka ingin menjaga mereka nasihat sederhana, dan ingin merekomendasikan menggunakan DNS publik nama-nama dalam sertifikat.
Kebanyakan orang-orang yang don't menggunakan stabil IP statis untuk layanan mereka. Menyediakan layanan DNS adalah salah satu kasus di mana itu's benar-benar perlu untuk memiliki stabil terkenal IP bukan hanya sebuah nama. Untuk orang lain, menempatkan anda saat ini IP di SSL cert akan menghambat masa depan anda pilihan, karena anda tidak't membiarkan orang lain mulai menggunakan IP tersebut. Mereka bisa meniru situs anda.
Cloudflare.com memiliki kontrol 1.1.1.1 alamat IP sendiri, dan isn't berencana untuk melakukan sesuatu yang berbeda dengan di masa mendatang, sehingga masuk akal bagi mereka untuk menempatkan IP mereka di mereka cert. Terutama sebagai penyedia DNS, it's lebih mungkin bahwa HTTPS klien akan mengunjungi URL dengan jumlah dari situs lain.
Tampak seperti Subjek Sertifikat Alt Nama termasuk alamat IP:
Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001
Secara tradisional saya kira anda akan memiliki hanya menempatkan Nama DNS di sini, tapi Cloudflare telah menempatkan Alamat IP mereka juga.
https://1.0.0.1/ ini juga dianggap aman oleh browser.