这是Google Chrome显示的内容:
通常,当我尝试通过其IP地址访问HTTPS网站时,会收到如下安全警告:
站点证书需要与域匹配,但Google Chrome证书查看器不会显示
1.1.1.1
:GoDaddy的知识库文章“我可以为Intranet名称请求证书吗? IP地址?”说:否-我们不再接受Intranet名称或IP地址的证书请求。这是一种行业标准,不是特定于GoDaddy的标准。
(强调矿井)
还:
因此,自2016年10月1日起,证书颁发机构(CA)必须吊销使用Intranet名称或IP地址的SSL证书。
(强调我的)
并且:
而不是保护IP地址和Intranet名称,您应该重新配置服务器以使用完全合格的域名(FQDN),例如www.coolexample.com。 br />
(强调我的)
强制性撤销日期早于2016年10月1日,但
1.1.1.1
的证书已于2018年3月29日颁发(如屏幕快照所示)以上)。所有主流浏览器如何可能认为https://1.1.1.1是受信任的HTTPS网站?
#1 楼
英语是模棱两可的。您正在像这样解析它:(intranet names) or (IP addresses)
即禁止完全使用数字IP地址。与您所看到的匹配的含义是:
intranet (names or IP addresses)
即禁止对私有IP范围(例如10.0.0.0/8、172.16.0.0/12和192.168.0.0/16)以及在公共DNS上不可见的私有名称的证书。
仍然允许公开路由IP地址的证书,只是一般不建议大多数人使用,尤其是那些不拥有静态IP的人。
此声明仅供参考,并非声称您无法保护(公共)IP地址。
而不是保护IP地址和Intranet名称,您应该重新配置服务器以使用完全合格的域名(FQDN),例如www.coolexample.com
也许GoDaddy的某人误解了该措词,但他们更有可能希望保持其建议的简洁性,并希望建议在证书中使用公共DNS名称。
大多数人不使用为其服务提供稳定的静态IP。提供DNS服务是真正需要拥有稳定的知名IP而不只是名称的一种情况。对于其他任何人,将您当前的IP放入SSL证书将限制您将来的选择,因为您不能让其他人开始使用该IP。他们可能会冒充您的网站。
Cloudflare.com自己可以控制1.1.1.1 IP地址,并且在可预见的将来不打算对其进行任何更改,因此对他们来说有意义将他们的IP放入证书中。尤其是作为DNS提供者,HTTPS客户端比其他任何站点更可能通过数字访问其URL。
评论
这正好回答了为什么我感到困惑。我向GoDaddy发送了一条建议,以改善本文的措辞。希望他们将对其进行修复,以澄清CAB论坛上记录的“(内部服务器名称)或(保留的IP地址)”。
– Deltik
18年4月12日在23:51
就目前而言,Cloudflare不“拥有” 1.1.1.1地址。它归APNIC实验室所有,后者授予Cloudflare许可在那儿运行DNS解析器,以换取Cloudflare协助研究大量错误地分配给该IP的垃圾数据包。
–凯文
18年4月13日在20:18
在@Kevin上,APNIC也不拥有它。本文提到了所有权问题,并使用了短语“分配给”。作为ICANN一部分的IANA将地址范围分配给了APNIC,而APNIC则将这些地址分配给了Cloudflare。 IPv4地址只是写0-4294967296中的数字的一种简便方法(如果您在许多操作系统中ping 16843009,那么您会收到1.1.1.1的响应),而美国将不承认拥有数字(因此)为什么命名为“奔腾”
– TOOGAM
18年4月15日在3:05
英特尔的事是商标案件,而不是所有权案件。
– StarWeaver
18年4月15日在7:27
@TOOGAM:我的意思是,在我专门链接的whois系统中,1.1.1.1已分配给APNIC Labs。如果要对分配与所有权进行比较,请不要误解“已分配”的含义。
–凯文
18年4月15日在15:09
#2 楼
GoDaddy说明文件有误。证书颁发机构(CA)必须撤销所有IP地址的证书,只是保留的IP地址,这并不是真的。来源:https://cabforum.org/internal-names/
https://1.1.1.1的CA是DigiCert,在撰写本文时,它确实允许购买公共IP地址的站点证书。
DigiCert对此有一篇名为内部服务器名称SSL证书颁发于2015年之后:
如果您是使用内部名称的服务器管理员,则需要重新配置这些服务器以使用公共名称,或切换到已颁发的证书由内部CA在2015年截止日期之前提交。所有需要公共信任证书的内部连接都必须通过公开且可验证的名称进行(这些服务是否可以公共访问无关紧要)。
(强调我的)
Cloudflare只是从该受信任的CA处获得了其IP地址
1.1.1.1
的证书。对https://1.1.1.1进行的证书解析显示该证书使用了Subject Alternative包含某些IP地址和普通域名的名称(SAN):
deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
X509v3 Subject Alternative Name:
DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001
此信息也位于Google Chrome证书查看器的“详细信息”标签下:
此证书对所有列出的域(包括通配符
*
)和IP地址均有效。评论
您的文章链接似乎无效。最好引用相关信息。
–猎犬
18年4月12日在4:53
我认为这没有误导那么多。应该在括号中标明“必须撤消使用(内部网名称)或IP地址的SSL证书”,而不是“必须撤消使用(内部网名称)或IP地址的SSL证书”。
– Maciej Piechotka
18年4月12日在7:46
好吧,它确实说“内部网名称或IP地址”。内联网名称或内联网IP地址。没错,只是OP仅选择性地读取它。
–轨道轻赛
18年4月12日在10:25
#3 楼
看来证书主题替代名称包含IP地址:Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001
传统上,我想您只将DNS名称放在这里,但是Cloudflare却将其IP地址放在其中也是如此。
https://1.0.0.1/也被浏览器视为安全。
评论
我看不出这如何回答问题。发布证书的内容并不能解释为什么可以交付这样的证书。
–德米特里·格里戈里耶夫(Dmitry Grigoryev)
18年4月12日在7:20
@DmitryGrigoryev:但是它确实证明已经提供了这样的证书,这是问题中的主要困惑点(OP找不到证书中列出的1.1.1.1)
–轨道轻赛
18年4月12日在10:26
这个答案确实回答了作者的问题。尽管作者对其混淆进行了更详细的说明,但这可以确定事实,所涉及的证书确实有效。自从该问题的作者提出以来,从未向我们提供GoDaddy的实际信息,很难用其他任何方式回答该问题。
–猎犬
18年4月12日在11:58
@DmitryGrigoryev-如果问题是“为什么我的浏览器认为1.1.1.1是安全的?” (此页面的标题)或“所有主流浏览器如何可能认为1.1.1.1是受信任的HTTPS网站?” (正文中唯一的实际问题),则“因为在证书中将1.1.1.1列为SAN”清楚地回答了该问题。
–戴夫·谢罗曼(Dave Sherohman)
18年4月15日在8:49
@DmitryGrigoryev“不解释为什么可以提供这样的证书”,因此问题尚不清楚,因为它甚至不包含完整的证书信息,也不是关于浏览器中TLS实施的技术问题还是策略问题关于CA,但两者兼而有之
–好奇
18年6月21日在5:20
评论
值得指出的是,192.168.0.2和1.1.1.1之间存在巨大差异。您的Intranet外部不存在一个192.168.0.2。如果创建了自己的自签名证书,则将信任192.168.0.2,并且可以在诸如fake.domain之类的域上对SAN使用相同的方法。值得指出的是1.1.1.1不是保留的IP地址,因此看来,任何CA都会颁发证书。blog.cloudflare.com/announcing-1111“今天,我们很高兴能通过推出1.1.1.1(互联网速度最快,隐私优先的消费者DNS服务)朝着这一目标又迈出了一步。”
我认为你把这句话弄错了。它们可能意味着“必须撤消使用Intranet(名称或IP地址)的SSL证书”,而不是“必须撤消使用(Intranet名称)或IP地址的SSL证书”。
@MaciejPiechotka是正确的,这意味着“必须撤消使用Intranet名称或Intranet IP地址的SSL证书”
顺便说一句...没有强制撤消之类的事情。从字面上看,地球上没有任何组织拥有这种能力。最接近的是一堆同意做某事的CA。