공개 IP 주소에 대한 SSL 인증서?


10

방금 Comodo Positive SSL을 구입하려고 시도했지만 공개 IP 주소를 지원하지 않아 거부되었지만 대신 도메인 이름 만 지원합니다.

누구든지 도메인 이름 대신 공개 IP 주소를 지원하는 SSL 인증서 공급자를 알고 있습니까?

우리 회사에는 웹 호스팅 회사가 호스팅하는 전용 서버가 있는데,이 서버는 여러 프로젝트 (여러 클라이언트 용)에 대한 버그 추적기를 실행하는 데 사용됩니다. 버그 추적기에만 사용되므로 도메인 이름이 필요하지 않습니다 (고객이 브라우저에 공개 IP를 입력하여 도메인 이름에 액세스).


2
북마크가없는 위치에있을 때 IP 주소를 기억할 필요가 없도록 도메인 이름을 설정하겠습니다. 또한 IP를 변경하면 투명하게됩니다.
Mark Wagner

답변:


16

나는 당신이 이것을 할 수 있다고 생각하지만 당신이하려는 방식은 아닙니다.

SSL 인증서는 공용 암호화 키를 CN (Common Name) 요소를 포함하는 X.500 구조에 바인딩하는 명령문입니다. 서명 된 인증서는 최종 사용자에게 이미 알려진 공개 키 (브라우저 내에있는 CA (Certificate Authority) 인증서 스택)를 사용하여 바인딩이 타사 인증 기관에 의해 확인 가능한 경우입니다.

브라우저가있는 SSL 보안 웹 사이트를 방문하면 서명 된 CN이 브라우저에 알려집니다. 브라우저가 브라우저와 관련하여 선택하는 것은 브라우저에 달려 있습니다. 내가 알고있는 브라우저는 요청한 호스트 이름과 비교하고 다른 경우 (또는 인증 된 바인딩이 분석에 맞지 않는 경우 오류가 발생합니다 (예 : 서명 인증서가 브라우저에 알려지지 않았거나 바인딩이 없음) 최신이지만 다른 문제입니다). CN이 FQDN (정규화 된 도메인 이름)이 아닌 IP 주소 [1] 가 아닌 공개적으로 서명 된 인증서를 얻는 것을 원칙적으로 막을 수는 없지만, 브라우저가 CN을 IP와 비교할 수는 없습니다. 요청 된 hostname 대신 주소를 사용하십시오 .

문제를 해결하는 가장 간단한 방법은 자신의 CA를 시작하는 것입니다. 쉽게 수행 할 수 있으며 이에 대한 많은 공개 자습서가 있습니다. 하나는 여기에 있습니다 . 최종 사용자가 CA를 브라우저로 가져 오면 사용자가 인증 한 모든 인증서가 신뢰할 수있는 것으로 승인됩니다.

그런 다음 단일 IP 주소에서 많은 NameVirtualHost 사이트를 실행하려는 두 번째 문제가있을 수 있습니다. (TLS와 달리) SSL 협상이 연결의 다른 것보다 먼저 발생하기 때문에 이는 역사적으로 불가능했습니다. 즉, 인증서에 포함 된 CN 은 클라이언트가 연결하려는 호스트를 말할 수 있기 전에 클라이언트에 알려지고 사용됩니다.

최근 SNI (Server Name Indication)라는 프로토콜 확장이 도입 된 것으로 보이며,이를 통해 클라이언트와 서버는 SSL 인증서가 제시되기 전에 호스트 이름을 수행하고 싶다는 것을 표시 할 수 있습니다. 서버가 제공 할 인증서 분명히이 아파치 2.2.10하는 OpenSSL을 충분히 최신 버전, 그리고 (필요 중요한 ) 클라이언트 측 지원을 제공합니다.

그래서 당신이하려는 일을해야한다면, 내 자신의 CA 인증서를 작성하는 것을보고 최종 사용자에게 SNI를 지원하고 CA 루트 인증서를 가져 오는 브라우저를 사용해야하며 각 버그 트랙 사이트에 대해 내 SSL 인증서에 서명합니다.

[1] 좋아, 당신은 그것을 할 사람을 찾지 못했을 수도 있지만, 그것은 구현 세부 사항입니다. 내가 여기에 표시하려고하는 것은 당신이 그렇게하더라도 문제가 해결되지 않는다는 것입니다.


4
특정 응용 분야의 경우 왜 그렇지 않습니까? 응용 프로그램 공급자가 작성하고 신뢰할 수 없다면 개인 SSL 키가 있고 관계없이 사물을 해독 할 수 있기 때문에 어쨌든이 응용 프로그램과 관련하여 문제가 있습니다. 그리고 그렇게 걱정한다면, 그는 각 buqtrack 사이트에 대해 자체 서명 된 인증서를 잘라 내고 필요에 따라 가져올 수 있습니다.
MadHatter

2
@Tom-위의 예에서 인증서를 제공하는 사람을 신뢰하지 않으면 왜 처음부터 인증서를 사용하고 있습니까? SSL 인증이 알려진 CA의 지원으로 / 발행 된 것인지 여부는 '온라인'앱에 데이터를 위임하는 경우 WRT 신뢰에 대한 걱정을 최소화합니다.
Rob Moir

2
CA를 특정 도메인에 대해서만 권한있는 것으로 설치할 수있는 방법이 없기 때문에 일단 CA 루트를 설치하면 나만의 버그 추적 응용 프로그램처럼 온라인 뱅킹 사이트를 쉽게 인증 할 수 있습니다. DNS 캐시를 감염시킬 수 있으면 온라인 뱅킹에 대한 중간자 공격을 수행 할 수 있습니다. 이것이 실제로 그들을 걱정하고 그들이이 프로젝트에 사용자 정의 브라우저를 사용하고 싶지 않다면, 위에서 말했듯이 클라이언트가 필요에 따라 설치할 수있는 각 개별 버그 추적기에 대해 자체 서명 된 인증서를자를 수 있습니다.
MadHatter

1
톰, 사실에 동의 하겠지만 는 '신뢰'인증서를 사용하고 싶은 이유. 사실 나는 100 % 동의합니다. 그러나 그것은 당신의 원래 의견이 나온 방법이 아닙니다.
Rob Moir

1
불타는 도메인 이름? 내 모국어는 영어가 아니므로 설명 할 수 있습니까? 또한 내 상사는 공개 IP를 사용하는 것을 선호합니다. 검색 엔진이 사이트를 찾지 않기를 원할 수도 있습니다 (도메인 이름이 없어도 검색 엔진이 사이트를 찾을 수 있습니까?)
serial engine

10

모든 주요 브라우저로 미리 채워집니다 그 중 하나 루트 인증 기관 I를 알고있다 공용 IP 주소에 문제 SSL 인증서 : 한 번 봐 걸릴 GlobalSign을 . 인증서 요청을 확인하기 위해 RIPE 정보를 읽으므로 먼저 RIPE 항목이 올바른 이름으로 발행되었는지 확인할 수 있습니다.

피드백과 관련하여이 항목은 다음과 같습니다.

, 도메인 이름을 구입하고 해당 CN에서 SSL 인증서를 발행하는 것이 좋습니다. 또한 위의 GlobalSign 옵션보다 저렴합니다.

그러나 공용 IP를 CN으로 사용하는 SSL 인증서가 유용한 경우가 있습니다. 많은 인터넷 제공 업체와 정부는 DNS 인프라를 기반으로 원치 않는 사이트를 차단합니다. 예를 들어 정치적 이유로 차단 될 수있는 사이트를 제공하는 경우이 사이트를 공개 IP 주소를 통해 액세스 할 수있는 것이 좋습니다. 동시에, 당신은 것입니다 그 사용자를위한 암호화 트래픽을 원하고 인증서의 CN이 일치하지 않기 때문에 당신은 (당신이 아닌 기술 사용자가 브라우저의 보안 예외 경고를 통해 클릭의 번거 로움을 통해 가고 싶지 않아 실제 입력). 자신의 루트 CA를 설치하는 것은 훨씬 번거롭고 현실적이지 않습니다.


특히 "웹 호스팅 회사와 호스팅되는 전용 서버"는 자체 RIP enty를 거의 갖지 않지만 주변 네트워크에는 RIPE 항목이 있습니다 (호스팅 회사 정보)
Hagen von Eitzen

1

계속해서 도메인 이름을 구입하십시오. 그들은 싸다, 그것보다 싸지 마라. 당신은 하나만 필요합니다. 아마도 bugtracker.yourcompany.com을 설정했을 수도 있습니다.

그런 다음 각 버그 추적기에 대해 해당 이름의 하위 도메인을 설정하십시오. 해당 하위 도메인 각각에 대한 SSL 인증서를 받으십시오. 특히 비용이 많이 드는 것처럼 보이기 때문에 비즈니스를 수행하려는 회사를 StartSSL이라고합니다.

http://www.startssl.com/

사용하려는 이유는 (주 브라우저에서 신뢰하는 것 외에도) 인증서에 팔과 다리 비용이 들지 않기 때문입니다. 가장 기본적인 종류의 인증서는 실제로 솔직히 무료입니다. 신원을 확인한 다음 필요한만큼 발행 할 수 있습니다. 더 멋진 인증서 (일반적으로 수백 달러)가 필요한 경우 단일 IP에서 여러 도메인에 대해 SSL을 지원하기 위해 2 년 동안 약 $ 50를 찾고 있습니다.

그들은 당신이 얻는 것에 대해 매우 싸다. 그들은 클라이언트 브라우저에서 신뢰할 수있는 실제 인증서를 발급하며 다른 장소와 같은 90 일 평가판은 사용하지 않습니다.


1
나는 그것을 이해하지 못한다고 생각합니다. 올바르게 발행 된 SSL 인증서는 자체적으로 식별 토큰입니다. 인증 기관은 문제 후에 서비스를 제공하지 않습니다. 내 사이트는 RapidSSL 인증서로 보호되어 있지만 내일 파산하면 내 인증서는 지금처럼 효과적입니다.
MadHatter

2
얼마나 많은 클라이언트가 SSL 제공자에 대한 전체 백그라운드 점검을하려고합니까? 그들은 이스라엘 회사와 사업을 한 회사와 사업을하고 있다는 것을 깨닫기 전에 파헤쳐 야했습니다. MadHatter가 말했듯이 정치적 불안정성은 인증서가 유효한지 여부와 거의 관련이 없습니다. 발행되면 만기일까지 유효합니다. 그러나 기술적으로 복잡하지 않은 다른 레지스트라에게 우스운 돈을 지불하고 싶다면 멋지다. SSL 인증서는 가장 우스운 사기 중 하나입니다.
Paul McMillan

2
이봐, 단 한 명의 고객 만 있으면됩니다. 처음부터 명확하지 않기 때문에 죄송합니다. 우리 나라는 이스라엘 사람들이 이스라엘과 거래하는 것을 허용하지 않습니다. 그게 다야.
시리얼 엔진

1
그렇습니다, 그것은 더 유용한 말이었습니다. SSL 인증서는 불필요하게 비싸지 만 비즈니스 규모에 따라 비용이 거의 들지 않습니다.
Paul McMillan

2
"발행되면 만료 될 때까지 유효합니다. 완전 정지". 해지 정보가 포함되어 있지 않으면 해지되며 클라이언트는 해지 확인을 시행합니다. 그리고 진행중인 CA는 아마도 모든 인증서를 철회해야 할 것입니다. Just sayin '
Ryan Bolger
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.