Warum hält mein Browser https://1.1.1.1 für sicher?

Question

Warum hält mein Browser https://1.1.1.1 für sicher?

21558

Deltik 2018-04-12 в 04:05

Wenn ich https://1.1.1.1 besuche, betrachtet jeder von mir verwendete Webbrowser die URL als sicher.

Dies zeigt Google Chrome:

Wenn ich versuche, eine HTTPS-Site über ihre IP-Adresse aufzurufen, erhalte ich normalerweise eine Sicherheitswarnung wie diese:

Nach meinem Verständnis muss das Site-Zertifikat mit der Domäne übereinstimmen. Der Google Chrome Certificate Viewer zeigt jedoch nicht Folgendes an 1.1.1.1:

GoDaddys Knowledgebase-Artikel "Kann ich ein Zertifikat für einen Intranet-Namen oder eine IP-Adresse anfordern?" sagt:

Nein, wir akzeptieren keine Zertifikatsanfragen mehr für Intranet-Namen oder IP-Adressen. Dies ist ein branchenweiter Standard, kein spezifischer Standard für GoDaddy.

^{_{( Hervorhebung meines)}}

Und auch:

Daher müssen Zertifizierungsstellen (Certification Authorities, CAs) ab dem 1. Oktober 2016 SSL-Zertifikate mit Intranetnamen oder IP-Adressen sperren .

^{_{( Hervorhebung meines)}}

Und:

Anstatt IP-Adressen und Intranet-Namen zu sichern, sollten Sie die Server für die Verwendung von vollqualifizierten Domänennamen (FQDNs) wie www.coolexample.com neu konfigurieren .

^{_{( Hervorhebung meines)}}

Es ist weit nach dem obligatorischen Widerrufsdatum vom 01. Oktober 2016, das Zertifikat 1.1.1.1wurde jedoch am 29. März 2018 ausgestellt (siehe Abbildung oben).

Wie ist es möglich, dass alle großen Browser glauben, dass https://1.1.1.1 eine vertrauenswürdige HTTPS-Website ist?

128

Es sei darauf hingewiesen, dass zwischen 192.168.0.2 und 1.1.1.1 ein großer Unterschied besteht. Eine "192.168.0.2" existiert nicht außerhalb Ihres Intranets. Wenn Sie Ihr eigenes selbstsigniertes Zertifikat erstellt haben, wird `192.168.0.2` als vertrauenswürdig eingestuft, und Sie könnten denselben Ansatz für das SAN in einer Domäne wie` fake.domain` verwenden. Es sei darauf hingewiesen, dass es sich bei '1.1.1.1' nicht um eine reservierte IP-Adresse handelt, so dass es scheint, dass jede Zertifizierungsstelle das Zertifikat ausgestellt hätte. Ramhound vor 6 Jahren 10

https://blog.cloudflare.com/announcing-1111/ "Wir freuen uns, heute mit dem Start von 1.1.1.1 einen weiteren Schritt in Richtung dieser Mission zu unternehmen - dem schnellsten DNS-Dienst für den Privatanwender, der den Datenschutz als erste Priorität hat." vor 6 Jahren 12

Ich denke, Sie haben den Satz falsch angewandt. Sie bedeuteten wahrscheinlich, dass 'SSL-Zertifikate, die Intranet verwenden (Namen oder IP-Adressen) widerrufen werden müssen', nicht SSL-Zertifikate, die (Intranet-Namen) oder IP-Adressen verwenden, '' widerrufen müssen. Maciej Piechotka vor 6 Jahren 11

@MaciejPiechotka ist korrekt. Dies bedeutet, dass SSL-Zertifikate, die Intranet-Namen oder IP-Adressen im Intranet verwenden, gesperrt werden müssen. Ben vor 6 Jahren 1

@MaciejPiechotka: Der Artikel enthält auch einen Satz, der mit "Anstatt IP-Adressen und Intranet-Namen zu sichern" beginnt. Dieser Satz kann nur als "Anstelle von (IP-Adressen) und (Intranet-Namen)" in Klammern gesetzt werden. Deltik vor 6 Jahren 1

Dies wurde kürzlich in einer Episode des Podcasts * Security Now * von Steve Gibson, [Episode 557] (https://twit.tv/shows/security-now/episodes/657) behandelt. [Transcript] (https://www.grc.com/sn/sn-657.txt). [MP3-Datei] (https://www.podtrac.com/pts/redirect.mp3/cdn.twit.tv/audio/sn/sn0657/sn0657.mp3) Peter Mortensen vor 6 Jahren 1

@Deltik "Statt Katzen und Hunde und andere Haustiere zu sichern". Bedeutet das, dass * Katzen * und * Hunde * nicht * häuslich * sind? Selbst wenn Sie es nicht auf diese Weise "festhalten" können, können Sie es semantisch noch tun. Natürliche Sprache ist manchmal unglaublich vieldeutig. Bakuriu vor 6 Jahren 1

Übrigens ... es gibt keinen obligatorischen Widerruf. Buchstäblich hat keine Organisation auf der Erde diese Art von Macht. Am nächsten kommt eine Reihe von CAs, die sich dazu bereit erklären, etwas zu tun. cHao vor 6 Jahren 2

Sie verwechseln sich und andere, indem Sie behaupten, dass "das Zertifikat für 1.1.1.1 ausgestellt wurde". Offensichtlich nicht wahr, da das Zertifikat an "* .cloudflare-dns.com" und nicht an eine IP-Adresse ausgestellt wird. Es bleibt nur noch zu beantworten, ob der Browser eine umgekehrte DNS-Suche ausführt ([1dot1dot1dot..cloudflare-dns.com] (https://dns.google.com/query?name=1.1.1.1&type=PTR)) oder ist das Lesen der IP von * Subject Alternative Name * im [Zertifikat] (https://crt.sh/?id=371010238&opt=nometadata). Vlastimil Ovčáčík vor 6 Jahren 0

@curiousguy Das wäre eine falsche Schlussfolgerung aus dem, was ich gesagt habe, vor allem weil ich buchstäblich feststelle, dass die IP-Adresse im SAN des Zertifikats aufgeführt ist. Vlastimil Ovčáčík vor 5 Jahren 0

@ VlastimilOvčáčík OK Ich war verwirrt durch den Satz "nicht wahr, da das Zertifikat ** an ** * .cloudflare-dns.com und ** keine IP-Adresse ** ausgestellt ist". Ich habe gelesen, dass "das Zertifikat nicht zu 1.1.1.1 ausgestellt wird". Ich bin immer noch NICHT sicher, was das bedeutet. curiousguy vor 5 Jahren 0

3 Antworten auf die Frage

99

92

Peter Cordes 2018-04-12 в 23:17

Englisch ist mehrdeutig . Du hast es so geparst:

(intranet names) or (IP addresses)

dh verbieten Sie die Verwendung numerischer IP-Adressen vollständig. Die Bedeutung, die dem entspricht, was Sie sehen, ist:

intranet (names or IP addresses)

B. verbieten Sie Zertifikate für die privaten IP-Bereiche wie 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie für private Namen, die im öffentlichen DNS nicht sichtbar sind.

Zertifikate für öffentlich routbare IP-Adressen sind weiterhin zulässig. Dies wird jedoch für die meisten Benutzer nicht empfohlen, insbesondere für diejenigen, die keine statische IP- Adresse besitzen.

Diese Aussage ist ein Hinweis und keine Behauptung, dass Sie eine (öffentliche) IP-Adresse nicht sichern können .

Anstatt IP-Adressen und Intranet-Namen zu sichern, sollten Sie die Server für die Verwendung von vollqualifizierten Domänennamen (FQDNs) wie www.coolexample.com neu konfigurieren

Vielleicht hat jemand bei GoDaddy den Wortlaut falsch interpretiert, aber eher wollte er seinen Rat einfach halten und die Verwendung öffentlicher DNS-Namen in Zertifikaten empfehlen.

Die meisten Benutzer verwenden keine stabile statische IP-Adresse für ihren Dienst. Die Bereitstellung von DNS-Diensten ist der einzige Fall, in dem es wirklich notwendig ist, eine stabile, bekannte IP-Adresse anstelle eines Namens zu verwenden. Wenn Sie Ihre aktuelle IP-Adresse in Ihr SSL-Zertifikat aufnehmen, werden Ihre zukünftigen Optionen eingeschränkt, da Sie nicht zulassen könnten, dass eine andere Person diese IP-Adresse verwendet. Sie könnten sich als Ihre Site ausgeben.

Cloudflare.com hat die Kontrolle über die 1.1.1.1-IP-Adresse selbst und plant in absehbarer Zeit nicht, etwas anderes damit zu tun . Daher ist es sinnvoll, dass sie ihre IP-Adresse in ihrem Zertifizierer angeben. Insbesondere als DNS-Anbieter ist es wahrscheinlicher, dass HTTPS-Clients ihre URL nach Nummer besuchen, als für jede andere Website.

Dies antwortet genau, warum ich verwirrt war. Ich habe einen Vorschlag an GoDaddy gesendet, um den Wortlaut von [Artikel] zu verbessern (https://www.godaddy.com/help/can-i-request-a-certificate-for-an-inintranet-name-or-ip- Adresse-6935). Hoffentlich werden sie das Problem beheben, um "(interner Servername) oder (reservierte IP-Adresse)" in der Dokumentation [im CAB Forum] (https://web.archive.org/web/20180213030525/https://cabforum.org) zu klären / interne Namen /). Deltik vor 6 Jahren 4

In diesem letzten Punkt wird sich GoDaddy nicht auf die * genaue * Dokumentation konzentrieren. Sie sollten stattdessen eine relevante und klare Dokumentation anstreben: eine einfache Regel, die für die meisten Benutzer geeignet ist. jpaugh vor 6 Jahren 0

@jpaugh: oh das stimmt, sie behaupten nicht, du kannst * nicht *, nur das solltest du nicht. Beim Nachlesen und Nachdenken über das, was sie sagen, ist es sehr sinnvoll, dass sie sich dagegen aussprechen. Peter Cordes vor 6 Jahren 0

Pedantisch "besitzt" Cloudflare * nicht die 1.1.1.1-Adresse. Es ist [im Besitz von APNIC Labs] (http://wq.apnic.net/apnic-bin/whois.pl?searchtext=1.1.1.1.1), der Cloudflare die Erlaubnis gab, dort einen DNS-Resolver zu betreiben [im Austausch für die Unterstützung von Cloudflare bei der Untersuchung der großen Anzahl von Müllpaketen, die irrtümlich an diese IP-Adresse adressiert sind] (https://blog.cloudflare.com/announcing-1111/). Kevin vor 6 Jahren 10

@ Kevin: interessant, danke für die Info. Meine Antwort wurde aktualisiert. Peter Cordes vor 6 Jahren 0

@Kevin gehört APNIC nicht dazu. [Dieser Artikel] (https://www.internetgovernance.org/2010/11/29/ownership-rights-in-ip-addresses-a-legal-analysis/) erwähnt die Frage des Eigentums und verwendet den Ausdruck "zugewiesen" zu". IANA, Teil von ICANN, hat APNIC den Adressbereich zugewiesen, der Cloudflare solche Adressen zugewiesen hat. IPv4-Adressen sind einfach eine fantastische Möglichkeit, eine Zahl von 0-4294967296 zu schreiben (wenn Sie unter vielen Betriebssystemen den Ping-Code 16843009 verwenden, werden Sie feststellen, dass Sie eine Antwort aus 1.1.1.1 erhalten) und die USA erkennen den Besitz einer Nummer nicht (daher auch nicht) warum der Name "Pentium" gemacht wurde) TOOGAM vor 6 Jahren 10

@TOOGAM: "APNIC den Adressbereich zugewiesen, der Cloudflare solche Adressen zugewiesen hat." - Nein, haben sie nicht. Der WHOIS-Datensatz gibt eindeutig an, dass er APNIC Labs zugewiesen ist. Kevin vor 6 Jahren 0

Die Intel-Sache war ein Fall von Markenzeichen, nicht Eigentum ... StarWeaver vor 6 Jahren 5

@Kevin: Aus Ihrem früheren Kommentar scheint es, dass die Adresse 1.1.1.1 Cloudflare zugewiesen wurde. Ich muss nicht unbedingt sagen, dass dies Allokationen sind, die in öffentlichen WHOIS-Daten sichtbar sind. (Es kann sich lediglich um eine Textzeile in der Konfiguration eines Routers handeln.) Obwohl die Zuweisung (en) dieser Adresse implementiert werden können, ist mein Hauptpunkt das Nicht-Besitz von IP-Adressen. TOOGAM vor 6 Jahren 0

@ StarWeaver: Vereinbart, dass der Besitz einer IP-Adresse im Internet (Kontrolle über?) Leicht andere Regeln als der Besitz einer Marke für eine Nummer enthalten kann. Marken sind jedoch Eigentum, das Sie besitzen können (daher der Rechtsbegriff "Intellectual Property"). Natürlich besitzen Sie in diesem Fall die Marke (für einen bestimmten Werbe- / Markenkontext), nicht die Nummer selbst. Peter Cordes vor 6 Jahren 0

@ TOOGAM und Kevin: Danke für den Link zu diesem Artikel, was "Besitz" einer IP-Adresse im technisch-rechtlichen Sinne bedeuten könnte. Ich habe die Frage mit der Änderung meiner Antwort in "Kontrolle über" geändert, da dies eine dauerhafte / langfristige Delegierung beinhaltet. Rechtliches Eigentum ist hier nicht einmal der wichtige Punkt, nur ein interessantes Nebenthema. Peter Cordes vor 6 Jahren 1

@ TOOGAM: Das habe ich nicht gesagt. Bitte höre auf, Worte in meinen Mund zu stecken. Kevin vor 6 Jahren 0

@ Kevin: Zuerst habe ich dich überhaupt nicht zitiert. Ich erkläre: "Aus den Informationen in Ihrem früheren Kommentar komme ich zu dem Schluss, dass die IPv4-Adresse 1.1.1.1 Cloudflare zugewiesen wurde." Nichts Spezifisches wurde sogar zugeschrieben. Nichts hat dich jemals zitiert. Aber selbst wenn ich Sie zitiert hätte (was ich nicht getan habe), habe ich dies nur überprüft und würde immer noch zu meiner Aussage stehen. Ich fange jetzt an, direkte Anführungszeichen zu verwenden: CloudFire kann eine Adresse nicht verwenden, es sei denn, sie wird zugewiesen. Daher hat "Erlaubnis" eine Zuordnung dieser Adresse beschrieben (in der Firewall-Konfiguration, die den Adressbereich behandelt). TOOGAM vor 6 Jahren 1

@ TOOGAM: Ich meine, im Whois-System, das ich ausdrücklich verlinkt habe, ist 1.1.1.1 den APNIC Labs zugeordnet. Wenn Sie Nits über Allocation vs. Ownership suchen, drehen Sie die Bedeutung von "Allocation" nicht. Kevin vor 6 Jahren 3

43

Michael Frank 2018-04-12 в 04:22

Der Name des Zertifikatsbetreffs enthält anscheinend die IP-Adresse:

Not Critical DNS Name: *.cloudflare-dns.com IP Address: 1.1.1.1 IP Address: 1.0.0.1 DNS Name: cloudflare-dns.com IP Address: 2606:4700:4700::1111 IP Address: 2606:4700:4700::1001

Ich denke, Sie hätten normalerweise nur DNS-Namen hier eingetragen, aber Cloudflare hat auch ihre IP-Adressen eingetragen.

https://1.0.0.1/ wird von Browsern auch als sicher angesehen.

Ich sehe nicht, wie das die Frage beantwortet. Die Veröffentlichung des Inhalts eines Zertifikats erklärt nicht, warum ein solches Zertifikat ausgeliefert werden kann. Dmitry Grigoryev vor 6 Jahren 1

@DmitryGrigoryev: Aber es beweist, dass ein solches Zertifikat geliefert wurde, was in der Frage ein großer Verwirrungspunkt war (das OP konnte 1.1.1.1 nicht finden, das im Zertifikat aufgeführt ist). Lightness Races in Orbit vor 6 Jahren 18

Diese Antwort beantwortet die Frage des Autors. Während der Autor in Bezug auf seine Verwirrung näher eingegangen ist, zeigt dies die Tatsache, dass das betreffende Zertifikat tatsächlich gültig ist. Da der Autor der Frage uns nie das gegeben hat, was GoDaddy tatsächlich gesagt hat, ist es schwierig, die Frage mit einem anderen Zeichen zu beantworten. Ramhound vor 6 Jahren 3

@DmitryGrigoryev - Wenn die Frage "Warum glaubt mein Browser, dass https://1.1.1.1 sicher ist?" (der Titel dieser Seite) oder "Wie kann es sein, dass alle großen Browser davon ausgehen, dass https://1.1.1.1 eine vertrauenswürdige HTTPS-Website ist?" (die einzige tatsächliche Frage innerhalb des Körpers), dann beantwortet diese Frage "weil 1.1.1.1 als SAN im Zertifikat aufgeführt ist". Dave Sherohman vor 6 Jahren 4

@DmitryGrigoryev "_ erklärt nicht, warum ein solches Zertifikat ausgeliefert werden konnte _", dann ist die Frage unklar, da sie nicht einmal die vollständigen Zertifikatsinformationen enthält und weder eine technische Frage zur TLS-Implementierung in Browsern noch eine Richtlinienfrage über CA, aber eine Mischung aus beiden curiousguy vor 5 Jahren 0

Accepted Answer · 2018-04-12 04:41:58

Die GoDaddy-Dokumentation ist falsch. Es stimmt nicht, dass Zertifizierungsstellen (Certification Authorities, CAs) Zertifikate für alle IP-Adressen sperren müssen… nur für reservierte IP-Adressen .

^{_{Quelle: https://cabforum.org/internal-names/}}

Die Zertifizierungsstelle für https://1.1.1.1 war DigiCert, die zum Zeitpunkt des Schreibens dieser Antwort den Erwerb von Standortzertifikaten für öffentliche IP-Adressen zulässt.

DigiCert hat dazu einen Artikel namens Internal Server Name SSL Certificate Issuance After 2015 :

Wenn Sie ein Serveradministrator mit internen Namen sind, müssen Sie entweder diese Server für die Verwendung eines öffentlichen Namens neu konfigurieren oder vor dem Stichtag 2015 zu einem von einer internen Zertifizierungsstelle ausgestellten Zertifikat wechseln. Alle internen Verbindungen, für die ein öffentlich vertrauenswürdiges Zertifikat erforderlich ist, müssen über öffentliche und überprüfbare Namen hergestellt werden (es spielt keine Rolle, ob diese Dienste öffentlich zugänglich sind).

^{_{( Hervorhebung meines)}}

Cloudflare hat 1.1.1.1von dieser vertrauenswürdigen Zertifizierungsstelle lediglich ein Zertifikat für ihre IP-Adresse erhalten.

Das Analysieren des Zertifikats für https://1.1.1.1 zeigt, dass das Zertifikat SAN (Subject Alternative Names) verwendet, um einige IP-Adressen und gewöhnliche Domänennamen zu umfassen:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:' X509v3 Subject Alternative Name:  DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Diese Informationen befinden sich auch im Google Chrome Certificate Viewer unter der Registerkarte "Details":

Dieses Zertifikat ist für alle aufgeführten Domänen (einschließlich Platzhalter *) und IP-Adressen gültig .

Warum hält mein Browser https://1.1.1.1 für sicher?

3 Antworten auf die Frage

Verwandte Probleme