Question Pourquoi mon navigateur pense-t-il que https://1.1.1.1 est sécurisé?


Quand je visite https://1.1.1.1, tout navigateur Web que j'utilise considère que l'URL est sécurisée.

Voici ce que montre Google Chrome:

Google Chrome 65.0.3325.181 address bar showing https://1.1.1.1

Normalement, lorsque je tente de visiter un site HTTPS via son adresse IP, je reçois un avertissement de sécurité comme celui-ci:

Google Chrome 65.0.3325.181 address bar showing https://192.168.0.2

À ma connaissance, le certificat de site doit correspondre au domaine, mais Google Chrome Certificate Viewer ne s'affiche pas. 1.1.1.1:

Certificate Viewer: *.cloudflare-dns.com

Article de la base de connaissances de GoDaddy "Puis-je demander un certificat pour un nom intranet ou une adresse IP?" dit:

Non - nous n'acceptons plus les demandes de certificat pour les noms d'intranet ou les adresses IP. Ceci est une norme de l'industrie, pas un spécifique à GoDaddy.

(accentuation mien)

Et aussi:

Par conséquent, en vigueur le 1er octobre 2016, Autorités de certification (CA) doit révoquer les certificats SSL qui utilisent noms d'intranet ou Adresses IP.

(accentuation mien)

Et:

Au lieu de sécuriser les adresses IP et intranet, vous devez reconfigurer les serveurs pour utiliser des noms de domaine complets (FQDN), tels que www.coolexample.com.

(accentuation mien)

C'est bien après la date de révocation obligatoire le 01 octobre 2016, pourtant le certificat pour 1.1.1.1 a été publié le 29 mars 2018 (montré dans la capture d'écran ci-dessus).


Comment est-il possible que tous les principaux navigateurs pensent que https://1.1.1.1 est un site Web HTTPS de confiance?


127
2018-04-12 04:05


origine


Il convient de souligner qu'il existe une énorme différence entre 192.168.0.2 et 1.1.1.1. Un 192.168.0.2 n'existe pas en dehors de votre intranet. Si vous avez créé votre propre certificat auto-signé 192.168.0.2 serait fiable, et vous pourriez utiliser la même approche pour le SAN, sur un domaine comme fake.domain. Il convient de souligner que 1.1.1.1 n'est pas une adresse IP réservée, il semble donc que toute autorité de certification aurait émis le certificat. - Ramhound
blog.cloudflare.com/announcing-1111 "Nous sommes ravis de faire un pas de plus vers cette mission avec le lancement de la version 1.1.1.1 - le service DNS le plus rapide et le plus confidentiel d’Internet." - DoritoStyle
Je pense que vous avez mal compris la phrase. Ils ont probablement voulu dire "doivent révoquer les certificats SSL qui utilisent l'intranet (noms ou adresses IP)" ne pas "révoquer les certificats SSL qui utilisent (noms intranet) ou les adresses IP". - Maciej Piechotka
@MaciejPiechotka est correct, cela signifie "doit révoquer les certificats SSL qui utilisent des noms intranet ou des adresses IP intranet" - Ben
BTW ... il n'y a pas de révocation obligatoire. Littéralement, aucune organisation sur Terre n’a ce genre de pouvoir. Le plus proche de vous est un groupe de CA qui acceptent de faire quelque chose. - cHao


Réponses:


L'anglais est ambigu. Vous étiez en train d'analyser comme ceci:

(intranet names) or (IP addresses)

c'est-à-dire interdire complètement l'utilisation d'adresses IP numériques. La signification qui correspond à ce que vous voyez est:

intranet (names or IP addresses)

c'est-à-dire des certificats d'interdiction pour le plages IP privées comme 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16, ainsi que pour les noms privés qui ne sont pas visibles sur le DNS public.

Les certificats pour les adresses IP publiquement routables sont toujours autorisés, n'est généralement pas recommandé pour la plupart des gens, en particulier ceux qui ne possèdent pas d'IP statique.


Cette déclaration est un conseil, pas une revendication que vous ne peut pas sécuriser une adresse IP (publique).

Au lieu de sécuriser les adresses IP et les noms d'intranet, vous devez reconfigurer les serveurs pour utiliser des noms de domaine pleinement qualifiés, tels que www.coolexample.com.

Peut-être que quelqu'un de GoDaddy a mal interprété le libellé, mais il était plus probable qu'il voulait garder ses conseils simples, et a recommandé l'utilisation de noms DNS publics dans les certificats.

La plupart des utilisateurs n'utilisent pas d'IP statique stable pour leur service. Fournir des services DNS est le seul cas où il est vraiment nécessaire d’avoir une adresse IP bien connue stable au lieu d’un nom. Pour quiconque, placer votre adresse IP actuelle dans votre certificat SSL limiterait vos options futures, car vous ne pouviez pas laisser quelqu'un d'autre commencer à utiliser cette adresse IP. Ils pourraient usurper l'identité de votre site.

Cloudflare.com a le contrôle de l’adresse IP 1.1.1.1 elle-même, et ne prévoit pas de faire quelque chose de différent dans un avenir prévisible, il est donc logique pour eux mettre leur adresse IP dans leur cert. Notamment en tant que fournisseur DNS, il est plus probable que les clients HTTPS consultent leur URL par numéro que pour tout autre site.


90
2018-04-12 23:17



Cela répond exactement pourquoi j'étais confus. J'ai envoyé une suggestion à GoDaddy pour améliorer le libellé de l'article. Espérons qu'ils le corrigeront pour clarifier "(nom du serveur interne) ou (adresse IP réservée)" comme documenté sur le forum CAB. - Deltik
Pédantement, Cloudflare ne fait pas "posséder" l'adresse 1.1.1.1. C'est appartenant à APNIC Labs, qui a autorisé Cloudflare à exploiter un résolveur DNS en échange de l'assistance de Cloudflare pour étudier le grand volume de paquets de paquets qui sont adressés par erreur à cette adresse IP. - Kevin
Sur le plan pédagogique, @Kevin, APNIC ne le possède pas non plus. Cet article mentionne la question de la propriété et utilise la phrase "attribué à". L'IANA, une partie de l'ICANN, a attribué la plage d'adresses à APNIC qui a attribué ces adresses à Cloudflare. Les adresses IPv4 sont simplement une façon élégante d'écrire un numéro à partir de 0-4294967296 (si vous faites un ping sur 16843009 dans de nombreux systèmes d'exploitation, vous obtiendrez une réponse au 1.1.1.1) et les États-Unis ne reconnaîtront pas le numéro pourquoi le nom "Pentium" a été fait) - TOOGAM
La chose Intel était un cas de marque, pas de propriété ... - StarWeaver
@TOOGAM: Je veux dire que dans le système whois, que j'ai lié spécifiquement, la 1.1.1.1 est attribuée aux laboratoires APNIC. Si vous allez choisir des nits au sujet de l’attribution ou de la propriété, ne changez pas le sens de «alloué». - Kevin


La documentation de GoDaddy est erronée. Il n'est pas vrai que les autorités de certification (CA) doivent révoquer les certificats pour toutes les adresses IP ... juste adresses IP réservées.

La source: https://cabforum.org/internal-names/

Le CA pour https://1.1.1.1 était DigiCert, qui, dès la rédaction de cette réponse, permet d’acheter des certificats de site pour des adresses IP publiques.

DigiCert a un article à ce sujet appelé Nom du serveur interne Émission du certificat SSL après 2015:

Si vous êtes un administrateur de serveur utilisant des noms internes, vous devez soit reconfigurer ces serveurs pour utiliser un nom public, soit passer à un certificat émis par une autorité de certification interne avant la date de clôture de 2015. Toutes les connexions internes nécessitant un certificat approuvé publiquement doivent être effectuées via des noms publique et vérifiable (peu importe si ces services sont accessibles au public).

(accentuation mien)

Cloudflare a simplement obtenu un certificat pour son adresse IP 1.1.1.1 de cette autorité de certification de confiance.

Analyse du certificat pour https://1.1.1.1 révèle que le certificat utilise des noms de sujets (SAN) pour englober certaines adresses IP et certains noms de domaine ordinaires:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Ces informations se trouvent également dans l'afficheur de certificats Google Chrome sous l'onglet "Détails":

Certificate Viewer: Details: *.cloudflare-dns.com

Ce certificat est valide pour tous les domaines répertoriés (y compris le caractère générique *) et les adresses IP.


98
2018-04-12 04:41



Le lien de votre article ne semble pas fonctionner. Mieux vaut citer les informations pertinentes. - Ramhound
Je pense que cela ne se trompe pas autant que trompeur. Il doit être mis entre parenthèses car "doit révoquer les certificats SSL qui utilisent l'intranet (noms ou adresses IP)" ne doit pas "révoquer les certificats SSL qui utilisent (noms intranet) ou les adresses IP". - Maciej Piechotka
Eh bien, ça Est-ce que dire "noms intranet ou adresses IP". Noms d'intranet ou adresses IP intranet. Ce n'est pas faux, c'est juste le OP qui le lit sélectivement. - Lightness Races in Orbit


On dirait que le nom d'altitude du sujet du certificat comprend l'adresse IP:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Traditionnellement, je suppose que vous auriez seulement mis des noms de DNS ici, mais Cloudflare a également ajouté ses adresses IP.

https://1.0.0.1/ est également considéré comme sécurisé par les navigateurs.


43
2018-04-12 04:22



Je ne vois pas comment cela répond à la question. L'affichage du contenu d'un certificat n'explique pas pourquoi un tel certificat pourrait être délivré. - Dmitry Grigoryev
@DmitryGrigoryev: Mais cela prouve qu'un tel certificat était livré, ce qui était un point de confusion majeur dans la question (l'OP n'a pas pu trouver 1.1.1.1 dans le cert) - Lightness Races in Orbit
Cette réponse répond en effet à la question de l'auteur. Bien que l'auteur ait donné plus de détails quant à leur confusion, cela identifie le fait, le certificat en question est effectivement valide. Depuis l'auteur de la question, ne nous a jamais fourni ce que GoDaddy a réellement dit, difficile de répondre à la question avec un autre. - Ramhound
@DmitryGrigoryev - Si la question est "Pourquoi mon navigateur pense-t-il que 1.1.1.1 est sécurisé? "(le titre de cette page) ou" Comment est-il possible que tous les principaux navigateurs pensent que 1.1.1.1 est un site Web HTTPS de confiance? "(la seule question dans le corps), alors" parce que 1.1.1.1 est répertorié comme un SAN dans le certificat "répond clairement à cette question. - Dave Sherohman
@DmitryGrigoryev "n'explique pas pourquoi un tel certificat pourrait être délivré"La question n’est donc pas claire, car elle ne contient même pas l’information complète sur le certificat et n’est pas clairement une question technique sur l’implémentation TLS dans les navigateurs ou une question de politique sur CA, mais un mélange des deux. - curiousguy