136 votes

Roo avatar

Pourquoi mon navigateur pense-t-il que https://1.1.1.1 est sécurisé ?

Demandé el 12 de Avril, 2018
Quand la question a-t-elle été
24222 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quand je visite https://1.1.1.1 Si j'utilise un navigateur Web, l'URL est considérée comme sûre par tous les navigateurs.

Voici ce que montre Google Chrome :

Google Chrome 65.0.3325.181 address bar showing https://1.1.1.1

Normalement, lorsque j'essaie de visiter un site HTTPS via son adresse IP, j'obtiens un avertissement de sécurité comme celui-ci :

Google Chrome 65.0.3325.181 address bar showing https://192.168.0.2

D'après ce que j'ai compris, le certificat de site doit correspondre au domaine, mais le visualiseur de certificats de Google Chrome ne montre pas 1.1.1.1 :

Certificate Viewer: *.cloudflare-dns.com

Article de la base de connaissances de GoDaddy "Puis-je demander un certificat pour un nom d'intranet ou une adresse IP ?" dice:

Non, nous n'acceptons plus les demandes de certificats pour les noms d'intranet ou les adresses IP. Il s'agit d'une norme industrielle mais pas un spécifique à GoDaddy.

( <strong>accentuation </strong>mine)

Et aussi :

En conséquence, à compter du 1er octobre 2016 Autorités de certification (CA) doit révoquer les certificats SSL qui utilisent des noms d'intranet ou Adresses IP .

( <strong>accentuation </strong>mine)

Et :

Au lieu de sécuriser les adresses IP et intranet, vous devez reconfigurer les serveurs pour utiliser des noms de domaine pleinement qualifiés (FQDN), tels que www.coolexample.com .

( <strong>accentuation </strong>mine)

La date de révocation obligatoire, le 1er octobre 2016, est largement dépassée, mais le certificat d'accès à l'eau potable de l'entreprise est toujours en vigueur. 1.1.1.1 a été émis le 29 mars 2018 (illustré dans la capture d'écran ci-dessus).

Comment est-il possible que tous les principaux navigateurs pensent que https://1.1.1.1 est un site web HTTPS de confiance ?

Demandé el 12 de Avril, 2018 par Roo

Réponses

Trop de publicités?

101voto

Roo avatar
Roo Points 21

La documentation de GoDaddy est erronée. Il n'est pas vrai que les autorités de certification (CA) doivent révoquer les certificats pour toutes les adresses IP juste des adresses IP réservées .

Source : <a href="https://web.archive.org/web/20180213030525/https://cabforum.org/internal-names/" rel="noreferrer">https://cabforum.org/internal-names/</a>

L'AC pour https://1.1.1.1 était DigiCert qui, au moment de la rédaction de cette réponse, permet d'acheter des certificats de site pour les adresses IP publiques.

DigiCert a un article à ce sujet intitulé Nom du serveur interne Délivrance des certificats SSL après 2015 :

Si vous êtes un administrateur de serveur utilisant des noms internes, vous devez soit reconfigurer ces serveurs pour utiliser un nom public, soit passer à un certificat délivré par une AC interne avant la date limite de 2015. Toutes les connexions internes qui nécessitent un certificat de confiance public doivent être effectuées via des noms qui sont publiques et vérifiables (il importe peu que ces services soient accessibles au public).

( <strong>accentuation </strong>mine)

Cloudflare a simplement obtenu un certificat pour leur adresse IP. 1.1.1.1 de cette autorité de confiance.

Analyse du certificat pour https://1.1.1.1 révèle que le certificat utilise des Subject Alternative Names (SAN) pour englober certaines adresses IP et des noms de domaine ordinaires :

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Ces informations figurent également dans le visualiseur de certificats de Google Chrome, sous l'onglet "Détails" :

Certificate Viewer: Details: *.cloudflare-dns.com

Ce certificat est valable pour tous les domaines énumérés (y compris le caractère générique * ) et les adresses IP.

Répondu el 12 de Avril, 2018 par Roo (21 Points )

98voto

Peter Cordes avatar
Peter Cordes Points 5022

L'anglais est ambigu . Tu l'as analysé comme ça :

(intranet names) or (IP addresses)

c'est-à-dire interdire totalement l'utilisation d'adresses IP numériques. La signification qui correspond à ce que vous voyez est :

intranet (names or IP addresses)

c'est-à-dire des certificats d'interdiction pour les des plages IP privées comme 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16, ainsi que pour les noms privés qui ne sont pas visibles sur le DNS public.

Les certificats pour les adresses IP publiquement routables sont toujours autorisés, mais n'est pas recommandé pour la plupart des gens, en particulier ceux qui ne possèdent pas d'adresse IP statique.

Cette déclaration est un conseil, et non une affirmation selon laquelle vous no puede sécuriser une adresse IP (publique).

Au lieu de sécuriser les adresses IP et les noms d'intranet, vous devriez reconfigurer les serveurs pour utiliser des noms de domaine pleinement qualifiés (FQDN), tels que www.coolexample.com.

Peut-être que quelqu'un chez GoDaddy a mal interprété la formulation, mais il est plus probable qu'ils aient voulu garder leurs conseils simples, et qu'ils aient voulu recommander l'utilisation de noms DNS publics dans les certificats.

La plupart des gens n'utilisent pas une IP statique stable pour leur service. La fourniture de services DNS est le seul cas où il est vraiment nécessaire d'avoir une IP stable et connue au lieu d'un simple nom. Pour tous les autres, le fait de mettre votre adresse IP actuelle dans votre certificat SSL limiterait vos options futures, car vous ne pourriez pas laisser quelqu'un d'autre utiliser cette adresse IP. Il pourrait usurper l'identité de votre site.

Cloudflare.com a le contrôle de l'adresse IP 1.1.1.1 elle-même, et ne prévoit pas d'en faire quelque chose de différent dans un avenir prévisible. pour eux pour mettre leur IP dans leur certificat. Surtout en tant que fournisseur de DNS il est plus probable que les clients HTTPS visitent leur URL en nombre que pour tout autre site.

Répondu el 13 de Avril, 2018 par Peter Cordes (5022 Points )

45voto

Michael Frank avatar
Michael Frank Points 7717

On dirait que le Subject Alt Name du certificat inclut l'adresse IP :

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Traditionnellement, je suppose que vous n'auriez mis que les noms DNS ici, mais Cloudflare a mis leurs adresses IP aussi.

https://1.0.0.1/ est également considéré comme sûr par les navigateurs.

Répondu el 12 de Avril, 2018 par Michael Frank (7717 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X