सवाल मेरा ब्राउज़र क्यों सोचता है कि https://1.1.1.1 सुरक्षित है?


जब मैं जाता हूं https://1.1.1.1, मेरे द्वारा उपयोग किए जाने वाले किसी भी वेब ब्राउज़र को यूआरएल सुरक्षित होने पर विचार करता है।

Google Chrome यह दिखाता है:

Google Chrome 65.0.3325.181 address bar showing https://1.1.1.1

आम तौर पर, जब मैं अपने आईपी पते के माध्यम से एक HTTPS साइट पर जाने का प्रयास करता हूं, तो मुझे इस तरह की सुरक्षा चेतावनी मिलती है:

Google Chrome 65.0.3325.181 address bar showing https://192.168.0.2

मेरी समझ से, साइट प्रमाण पत्र को डोमेन से मिलान करने की आवश्यकता है, लेकिन Google क्रोम प्रमाणपत्र दर्शक नहीं दिखाता है 1.1.1.1:

Certificate Viewer: *.cloudflare-dns.com

गोडाडी का नॉलेजबेस लेख "क्या मैं इंट्रानेट नाम या आईपी पते के लिए प्रमाणपत्र का अनुरोध कर सकता हूं?" कहते हैं:

नहीं - हम अब इंट्रानेट नाम या आईपी पते के लिए प्रमाणपत्र अनुरोध स्वीकार नहीं करते हैं। यह एक उद्योगव्यापी मानक है, गोडाडी के लिए एक विशिष्ट नहीं है।

(ज़ोर मेरी)

और भी:

नतीजतन, प्रभावी 1 अक्टूबर, 2016प्रमाणन प्राधिकरण (सीएएस) उपयोग करने वाले एसएसएल प्रमाणपत्रों को निरस्त करना होगा इंट्रानेट नाम या आईपी ​​पते

(ज़ोर मेरी)

तथा:

आईपी ​​पते को सुरक्षित करने के बजाय और इंट्रानेट नाम, आपको सर्वर को पूर्ण रूप से योग्य डोमेन नाम (FQDNs) का उपयोग करने के लिए पुन: कॉन्फ़िगर करना चाहिए, जैसे कि www.coolexample.com

(ज़ोर मेरी)

अनिवार्य निरस्तीकरण दिनांक 01 अक्टूबर 2016 के बाद यह अभी भी प्रमाण पत्र है 1.1.1.1 2 9 मार्च 2018 को जारी किया गया था (ऊपर स्क्रीनशॉट में दिखाया गया है)।


यह कैसे संभव है कि सभी प्रमुख ब्राउज़रों को लगता है कि https://1.1.1.1 एक विश्वसनीय HTTPS वेबसाइट है?


128
2018-04-12 04:05


मूल


वर्थ पॉइंटिंग 1 9 2.168.0.2 और 1.1.1.1 के बीच एक बड़ा अंतर है। एक 192.168.0.2 आपके इंट्रानेट के बाहर मौजूद नहीं है। यदि आपने अपना स्वयं का हस्ताक्षरित प्रमाणपत्र बनाया है 192.168.0.2 भरोसा किया जाएगा, और आप SAN के लिए उसी डोमेन का उपयोग कर सकते हैं, जैसे डोमेन पर fake.domain। उस बात को इंगित करने के लायक है 1.1.1.1 एक आरक्षित आईपी पता नहीं है, इसलिए ऐसा प्रतीत होता है कि किसी भी सीए ने प्रमाण पत्र जारी किया होगा। - Ramhound
blog.cloudflare.com/announcing-1111 "हम आज 1.1.1.1 के लॉन्च के साथ उस मिशन की ओर एक और कदम उठाने के लिए उत्साहित हैं - इंटरनेट की सबसे तेज़, गोपनीयता-पहली उपभोक्ता DNS सेवा।"
मुझे लगता है कि आप वाक्य को गलत बनाते हैं। वे शायद 'एसएसएल प्रमाणपत्रों को निरस्त करना चाहिए जो इंट्रानेट (नाम या आईपी पते) का उपयोग नहीं करते हैं,' '' इंट्रानेट नाम) या आईपी पते का उपयोग करने वाले एसएसएल प्रमाणपत्रों को निरस्त नहीं करना चाहिए। - Maciej Piechotka
@MaciejPiechotka सही है, इसका मतलब है "एसएसएल प्रमाणपत्रों को निरस्त करना होगा जो इंट्रानेट नाम या इंट्रानेट आईपी पते का उपयोग करते हैं" - Ben
बीटीडब्लू ... अनिवार्य निरसन जैसी कोई चीज नहीं है। वास्तव में पृथ्वी पर किसी भी संगठन की उस तरह की शक्ति नहीं है। आप जो निकटतम पाते हैं वह एक चीज करने के लिए सहमत सीए का एक गुच्छा है। - cHao


जवाब:


अंग्रेजी संदिग्ध है। आप इसे इस तरह पार्स कर रहे थे:

(intranet names) or (IP addresses)

यानी संख्यात्मक आईपी पते का उपयोग पूरी तरह से प्रतिबंधित करें। जो अर्थ आप देख रहे हैं उससे मेल खाता है:

intranet (names or IP addresses)

यानी के लिए प्रमाण पत्र प्रतिबंध निजी आईपी रेंज 10.0.0.0/8, 172.16.0.0/12, और 1 9 2.168.0.0/16, साथ ही निजी नामों के लिए जो सार्वजनिक DNS पर दिखाई नहीं दे रहे हैं।

सार्वजनिक रूप से रूटेबल आईपी पते के लिए प्रमाणपत्र अभी भी अनुमति है, आमतौर पर ज्यादातर लोगों के लिए अनुशंसित नहीं किया जाता है, खासतौर पर वे जिनके पास स्थिर आईपी भी नहीं है।


यह कथन सलाह है, आप दावा नहीं करते हैं नहीं कर सकते हैं एक (सार्वजनिक) आईपी पता सुरक्षित करें।

आईपी ​​पते और इंट्रानेट नामों को सुरक्षित करने के बजाय, आपको सर्वरों को पूरी तरह से योग्य डोमेन नाम (एफक्यूडीएन) का उपयोग करने के लिए पुन: कॉन्फ़िगर करना चाहिए, जैसे कि www.coolexample.com

हो सकता है कि गोडाडी में कोई व्यक्ति शब्द की गलत व्याख्या कर रहा था, लेकिन अधिक संभावना है कि वे अपनी सलाह को सरल रखना चाहते थे, और प्रमाण पत्र में सार्वजनिक DNS नामों का उपयोग करने की सिफारिश करना चाहते थे।

अधिकांश लोग अपनी सेवा के लिए स्थिर स्थिर आईपी का उपयोग नहीं करते हैं। डीएनएस सेवाएं प्रदान करना एक ऐसा मामला है जहां केवल एक नाम के बजाय स्थिर सुप्रसिद्ध आईपी होना आवश्यक है। किसी और के लिए, अपने वर्तमान आईपी को अपने एसएसएल प्रमाण में डालने से आपके भविष्य के विकल्प बाधित होंगे, क्योंकि आप किसी और को उस आईपी का उपयोग शुरू नहीं कर पाएंगे। वे आपकी साइट का प्रतिरूपण कर सकते हैं।

Cloudflare.com का नियंत्रण है 1.1.1.1 आईपी स्वयं को संबोधित करते हैं, और निकट भविष्य में इसके साथ कुछ भी अलग करने की योजना नहीं बना रहे हैं, इसलिए यह समझ में आता है उनके लिए अपने आईपी को अपने प्रमाण में रखने के लिए। ख़ास तौर पर एक DNS प्रदाता के रूप में, यह अधिक संभावना है कि HTTPS क्लाइंट किसी भी अन्य साइट की तुलना में संख्या के आधार पर उनके यूआरएल पर जाएंगे।


92
2018-04-12 23:17



यह जवाब देता है कि मैं उलझन में क्यों था। मैंने शब्द सुधारने के लिए गोडाडी को एक सुझाव भेजा लेख। उम्मीद है कि वे दस्तावेज के रूप में "(आंतरिक सर्वर नाम) या (आरक्षित आईपी पता)" को स्पष्ट करने के लिए इसे ठीक करेंगे सीएबी फोरम पर। - Deltik
पेडेंटिकली, क्लाउडफ्लेयर नहीं करता 1.1.1.1 पता "स्वयं"। यह है एपीएनआईसी लैब्स के स्वामित्व में, जिसने क्लाउडफ्लेयर को एक DNS रिज़ॉल्वर चलाने की अनुमति दी थी कचरा पैकेट की बड़ी मात्रा का अध्ययन करने में क्लाउडफ्लेयर की सहायता के बदले में जो गलती से उस आईपी को संबोधित किया जाता है। - Kevin
पेडेंटिकली, @ केविन, एपीएनआईसी के पास इसका स्वामित्व नहीं है। यह लेख स्वामित्व के मुद्दे का उल्लेख करता है, और "आवंटित" वाक्यांश का उपयोग करता है। आईएनएएनए के आईएएनए ने एपीएनआईसी को एड्रेस रेंज आवंटित की, जिन्होंने क्लाउडफ्लेयर को ऐसे पते आवंटित किए। आईपीवी 4 पते 0-4294967296 से एक संख्या लिखने का एक शानदार तरीका हैं (यदि आप कई ऑपरेटिंग सिस्टम में 16843009 पिंग करते हैं तो आपको मिलेगा कि आपको 1.1.1.1 से प्रतिक्रिया मिलेगी) और अमेरिका एक नंबर के मालिक को पहचान नहीं पाएगा (इसलिए क्यों "पेंटियम" नाम बनाया गया था) - TOOGAM
इंटेल चीज ट्रेडमार्क का मामला था, स्वामित्व नहीं ... - StarWeaver
@ टोग्राम: मेरा मतलब है कि, जोइस सिस्टम में, जिसे मैंने विशेष रूप से लिंक किया है, 1.1.1.1 एपीएनआईसी लैब्स को आवंटित किया गया है। यदि आप आवंटन बनाम स्वामित्व के बारे में नाइट्स लेने जा रहे हैं, तो "आवंटित" के अर्थ को मोड़ना न करें। - Kevin


GoDaddy दस्तावेज गलत है। यह सच नहीं है कि प्रमाणन प्राधिकरण (सीएएस) को सभी आईपी पते के लिए प्रमाणपत्र रद्द करना होगा ... बस आरक्षित आईपी पते

स्रोत: https://cabforum.org/internal-names/

के लिए सीए https://1.1.1.1 था DigiCert, जो इस उत्तर के लेखन के रूप में, सार्वजनिक आईपी पते के लिए साइट प्रमाण पत्र खरीदने की अनुमति देता है।

DigiCert इस बारे में एक लेख है 2015 के बाद आंतरिक सर्वर नाम एसएसएल प्रमाणपत्र जारी करना:

यदि आप आंतरिक नामों का उपयोग कर एक सर्वर व्यवस्थापक हैं, तो आपको उन सर्वरों को सार्वजनिक नाम का उपयोग करने के लिए फिर से कॉन्फ़िगर करना होगा, या 2015 कटऑफ तिथि से पहले किसी आंतरिक CA द्वारा जारी किए गए प्रमाणपत्र पर स्विच करना होगा। सार्वजनिक रूप से भरोसेमंद प्रमाणपत्र की आवश्यकता वाले सभी आंतरिक कनेक्शनों को उन नामों के माध्यम से किया जाना चाहिए सार्वजनिक और सत्यापन योग्य (इससे कोई फर्क नहीं पड़ता कि क्या वे सेवाएं सार्वजनिक रूप से सुलभ हैं)।

(ज़ोर मेरी)

क्लाउडफ्लेयर को बस अपने आईपी पते के लिए प्रमाणपत्र मिला 1.1.1.1 उस भरोसेमंद सीए से।

के लिए प्रमाण पत्र पार्सिंग https://1.1.1.1 बताता है कि प्रमाण पत्र कुछ वैकल्पिक पते और सामान्य डोमेन नामों को शामिल करने के लिए विषय वैकल्पिक नाम (SANs) का उपयोग करता है:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

यह जानकारी "विवरण" टैब के अंतर्गत Google क्रोम प्रमाणपत्र व्यूअर में भी है:

Certificate Viewer: Details: *.cloudflare-dns.com

यह प्रमाणपत्र सभी सूचीबद्ध डोमेन (वाइल्डकार्ड समेत) के लिए मान्य है *) और आईपी पते।


99
2018-04-12 04:41



आपका आलेख लिंक काम नहीं कर रहा है। प्रासंगिक जानकारी उद्धृत करने के लिए सबसे अच्छा। - Ramhound
मुझे लगता है कि यह भ्रामक के रूप में गलत नहीं है। यह ब्रैकेट होना चाहिए क्योंकि 'इंट्रानेट (नाम या आईपी पते) का उपयोग करने वाले एसएसएल प्रमाण पत्रों को निरस्त करना होगा,' 'इंट्रानेट नाम) या आईपी पते का उपयोग करने वाले एसएसएल प्रमाणपत्रों को निरस्त नहीं करना चाहिए। - Maciej Piechotka
असल में वह कर देता है "इंट्रानेट नाम या आईपी पते" कहें। इंट्रानेट नाम, या इंट्रानेट आईपी पते। यह गलत नहीं है, यह सिर्फ ओपी ही चुनिंदा इसे पढ़ता है। - Lightness Races in Orbit


ऐसा लगता है कि प्रमाणपत्र विषय Alt नाम में आईपी पता शामिल है:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

परंपरागत रूप से मुझे लगता है कि आपने केवल DNS नाम ही डाले होंगे, लेकिन क्लाउडफ्लारे ने भी अपने आईपी पते को भी रखा है।

https://1.0.0.1/ ब्राउज़र द्वारा सुरक्षित भी माना जाता है।


43
2018-04-12 04:22



मैं नहीं देखता कि यह सवाल का जवाब कैसे देता है। प्रमाण पत्र की सामग्री पोस्ट करना यह समझाता नहीं है कि ऐसा प्रमाणपत्र क्यों वितरित किया जा सकता है। - Dmitry Grigoryev
@DmitryGrigoryev: लेकिन यह साबित करता है कि ऐसा प्रमाण पत्र था वितरित, जो प्रश्न में भ्रम का एक प्रमुख बिंदु था (ओपी को प्रमाण में सूचीबद्ध 1.1.1.1 नहीं मिला) - Lightness Races in Orbit
यह उत्तर वास्तव में लेखक के प्रश्न का उत्तर देता है। जबकि लेखक अपने भ्रम के संबंध में अधिक जानकारी में गए, यह तथ्य की पहचान करता है, प्रश्न में प्रमाण पत्र वास्तव में मान्य है। प्रश्न के लेखक के बाद से, हमें कभी भी प्रदान नहीं किया गया कि गोडाडी ने वास्तव में क्या कहा, किसी और के साथ सवाल का जवाब देना मुश्किल है। - Ramhound
@DmitryGrigoryev - अगर सवाल है "मेरा ब्राउज़र ऐसा क्यों सोचता है 1.1.1.1 सुरक्षित है? "(इस पृष्ठ का शीर्षक) या" यह कैसे संभव है कि सभी प्रमुख ब्राउज़र इसे सोचें 1.1.1.1 एक विश्वसनीय HTTPS वेबसाइट है? "(शरीर के भीतर एकमात्र वास्तविक प्रश्न), फिर" क्योंकि 1.1.1.1 प्रमाणपत्र में SAN के रूप में सूचीबद्ध है "स्पष्ट रूप से उस प्रश्न का उत्तर देता है। - Dave Sherohman
@DmitryGrigoryev "यह नहीं बताता कि ऐसा प्रमाणपत्र क्यों वितरित किया जा सकता है"तो सवाल अस्पष्ट है, क्योंकि इसमें पूर्ण प्रमाणपत्र जानकारी भी शामिल नहीं है, और यह स्पष्ट रूप से या तो ब्राउज़र में टीएलएस कार्यान्वयन या सीए के बारे में नीति प्रश्न के बारे में तकनीकी प्रश्न नहीं है, लेकिन दोनों का मिश्रण - curiousguy