브라우저에서 https://1.1.1.1이 안전하다고 생각하는 이유는 무엇입니까?

133

https://1.1.1.1을 방문하면 사용하는 모든 웹 브라우저가 URL이 안전한 것으로 간주합니다.

이것은 Chrome이 보여주는 것입니다.

일반적으로 IP 주소를 통해 HTTPS 사이트를 방문하려고하면 다음과 같은 보안 경고가 표시됩니다.

내 이해에 따르면 사이트 인증서는 도메인과 일치해야하지만 Chrome 인증서 뷰어에는 다음이 표시되지 않습니다 1.1.1.1.

GoDaddy의 기술 자료 기사 "인트라넷 이름 또는 IP 주소에 대한 인증서를 요청할 수 있습니까?" 말한다 :

아니요-더 이상 인트라넷 이름 또는 IP 주소에 대한 인증서 요청을 수락하지 않습니다. 이것은 GoDaddy에만 해당되는 것이 아닌 업계 표준 입니다.

^{_{( 중점 광산)}}

그리고 또한:

결과적으로 2016 년 10 월 1 일부터 CA (인증 기관) 는 인트라넷 이름 또는 IP 주소 를 사용하는 SSL 인증서를 해지해야 합니다 .

^{_{( 중점 광산)}}

과:

IP 주소 및 인트라넷 이름 을 보호하는 대신 www.coolexample.com 과 같은 FQDN (정규화 된 도메인 이름)을 사용하도록 서버를 재구성해야합니다 .

^{_{( 중점 광산)}}

강제 철회 날짜는 2016 년 10 월 1 일 이후이지만 1.1.1.12018 년 3 월 29 일에 인증서 가 발급되었습니다 (위 스크린 샷 참조).

모든 주요 브라우저에서 https://1.1.1.1 이 신뢰할 수있는 HTTPS 웹 사이트 라고 생각할 수있는 방법은 무엇입니까?

— 델틱
소스

192.168.0.2와 1.1.1.1 사이에는 큰 차이가 있습니다. 하나는 192.168.0.2인트라넷의 외부에 존재하지 않습니다. 자체 서명 한 자체 인증서를 작성한 경우 192.168.0.2와 같은 도메인에서 SAN에 대해 동일한 접근 방식을 사용할 수 있습니다 fake.domain. 1.1.1.1이것이 예약 된 IP 주소가 아니라는 것을 지적 할 필요 가 있으므로, 모든 CA가 인증서를 발급했을 것입니다.

— Ramhound

blog.cloudflare.com/announcing-1111 "인터넷에서 가장 빠른 프라이버시 우선 소비자 DNS 서비스 인 1.1.1.1이 출시 되면서이 미션을 향한 또 다른 발걸음을

나는 당신이 문장을 잘못 생각했다고 생각합니다. 아마도 '인트라넷 (이름 또는 IP 주소)을 사용하는 SSL 인증서를 철회해야합니다'는 ''(인트라넷 이름) 또는 IP 주소를 사용하는 SSL 인증서를 철회하지 않아야합니다.

— Maciej Piechotka

@MaciejPiechotka는 정확합니다. "인트라넷 이름 또는 인트라넷 IP 주소를 사용하는 SSL 인증서를 철회해야합니다"

— Ben

BTW ... 강제 철회와 같은 것은 없습니다. 말 그대로 지구상의 어떤 조직도 그런 힘을 가지고 있지 않습니다. 가장 가까운 것은 일을하기로 동의하는 많은 CA입니다.

— cHao

답변:

영어는 모호합니다 . 다음과 같이 파싱했습니다.

(intranet names) or (IP addresses)

즉, 숫자 IP 주소의 사용을 완전히 금지하십시오. 보고있는 것과 일치하는 의미는 다음과 같습니다.

intranet (names or IP addresses)

즉 , 10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16과 같은 개인 IP 범위에 대한 인증서 와 공용 DNS에 표시되지 않는 개인 이름에 대한 인증서를 금지 합니다.

공개적으로 라우팅 가능한 IP 주소에 대한 인증서는 여전히 허용되지만 대부분의 사람들, 특히 고정 IP를 소유하지 않은 사람들에게는 일반적으로 권장되지 않습니다.

이 진술은 (공용) IP 주소를 보호 할 수 없다는 주장이 아니라 조언 입니다.

IP 주소 및 인트라넷 이름을 보호하는 대신 www.coolexample.com과 같은 FQDN (정규화 된 도메인 이름)을 사용하도록 서버를 재구성해야합니다.

어쩌면 GoDaddy의 누군가가 문구를 잘못 해석했을 수도 있지만 조언을 간단하게 유지하고 인증서에 공개 DNS 이름을 사용하는 것이 좋습니다.

대부분의 사람들은 서비스에 안정적인 고정 IP를 사용하지 않습니다. DNS 서비스를 제공하는 것은 이름 대신 안정적인 잘 알려진 IP를 가져야하는 경우입니다. 다른 사람에게는 현재 IP를 SSL 인증서에 넣으면 다른 사람이 해당 IP 사용을 시작할 수 없으므로 향후 옵션이 제한됩니다. 그들은 귀하의 사이트를 가장 할 수 있습니다.

Cloudflare.com는 제어가 1.1.1.1 IP 스스로 해결을하고, 예측 가능한 미래에 서로 다른 작업을 수행 할 계획되지 않은, 그래서 의미가 그들을 위해 자신의 인증서에 자신의 IP를 넣어. 특히 DNS 공급자 인 경우 HTTPS 클라이언트가 다른 사이트보다 숫자로 URL을 방문 할 가능성이 높습니다.

— 피터 코 데스
소스

이것은 내가 왜 혼란 스러웠는지 정확하게 대답합니다. 나는 기사 의 표현을 향상시키기 위해 GoDaddy에 제안을 보냈다 . CAB 포럼에 설명 된 대로 "(내부 서버 이름) 또는 (예약 된 IP 주소)"를 명확히하기 위해이 정보를 수정하기를 바랍니다 .

— Deltik

놀랍게도 Cloudflare 는 1.1.1.1 주소를 "소유" 하지 않습니다 . APNIC Labs 가 소유하고 있으며 , Cloudflare 가 실수로 해당 IP로 주소가 지정된 대량의 가비지 패킷을 연구 할 때 Cloudflare의 도움을받는 대신 Cloudflare에서 DNS 확인자를 운영 할 수있는 권한을 부여했습니다 .

— 케빈

@Kevin과 같이 APNIC도 소유하지 않습니다. 이 기사 에서는 소유권 문제를 언급하고 "할당 된"이라는 문구를 사용합니다. ICANN의 일부인 IANA는 이러한 주소를 Cloudflare에 할당 한 APNIC에 주소 범위를 할당했습니다. IPv4 주소는 단순히 0-4294967296의 숫자를 쓰는 멋진 방법입니다 (많은 운영 체제에서 16843009를 핑하면 1.1.1.1의 응답을 얻을 수 있음). 미국은 숫자를 소유하고 있음을 인식하지 못합니다 (따라서 "Pentium"이라는 이름이 만들어진 이유)

— TOOGAM

인텔은 소유권이 아니라 상표권 사건이었습니다.

— StarWeaver

@TOOGAM : 필자가 구체적으로 링크 한 whois 시스템에서 1.1.1.1이 APNIC Lab에 할당됨을 의미합니다. 할당 대 소유권에 대한 핵심을 선택하려는 경우 "할당 됨"의 의미를 왜곡하지 마십시오.

— 케빈

102

GoDaddy 설명서가 잘못되었습니다. 인증 기관 (CA)이 모든 IP 주소에 대한 인증서를 취소해야한다는 것은 사실이 아니며 예약 된 IP 주소 일뿐 입니다.

^{_{출처 : https://cabforum.org/internal-names/}}

https://1.1.1.1 의 CA 는 DigiCert였으며 ,이 답변을 쓰는 시점에서 퍼블릭 IP 주소에 대한 사이트 인증서를 구매할 수 있습니다.

DigiCert에는 2015 년 이후에 내부 서버 이름 SSL 인증서 발급 이라는 기사가 있습니다 .

내부 이름을 사용하는 서버 관리자 인 경우 공개 이름을 사용하도록 해당 서버를 재구성하거나 2015 마감 날짜 전에 내부 CA에서 발급 한 인증서로 전환해야합니다. 공개적으로 신뢰할 수있는 인증서를 요구하는 모든 내부 연결은 공개적이고 검증 가능한 이름을 통해 수행해야합니다 (공개적으로 액세스 가능한 서비스인지는 중요하지 않음).

^{_{( 중점 광산)}}

Cloudflare는 단순히 1.1.1.1신뢰할 수있는 CA로부터 IP 주소에 대한 인증서를 얻었습니다 .

https://1.1.1.1 의 인증서를 구문 분석하면 인증서가 SAN (Subject Alternative Names)을 사용하여 일부 IP 주소와 일반 도메인 이름을 포함 함을 알 수 있습니다.

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

이 정보는 "세부 사항"탭 아래의 Chrome 인증서 뷰어에도 있습니다.

이 인증서는 나열된 모든 도메인 (와일드 카드 포함 *) 및 IP 주소에 유효 합니다.

— 델틱
소스

기사 링크가 작동하지 않는 것 같습니다. 관련 정보를 인용하는 것이 가장 좋습니다.

— Ramhound

오해의 소지가있는 것처럼 오해되지 않았다고 생각합니다. '인트라넷 (이름 또는 IP 주소)을 사용하는 SSL 인증서를 철회해야합니다'가 ''(인트라넷 이름) 또는 IP 주소를 사용하는 SSL 인증서를 철회하지 않아야합니다 "와 같이 대괄호 여야합니다.

— Maciej Piechotka

음, 않습니다 "인트라넷 이름 또는 IP 주소"를 말한다. 인트라넷 이름 또는 인트라넷 IP 주소 그것은 틀린 것이 아니며 OP 만 선택적으로 읽습니다.

— 궤도에서 가벼움 경주

인증서 주체 대체 이름에 IP 주소가 포함 된 것 같습니다.

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

일반적으로 여기에는 DNS 이름 만 입력했을 것 같지만 Cloudflare는 IP 주소도 입력했습니다.

https://1.0.0.1/ 도 브라우저에서 안전한 것으로 간주됩니다.

— 마이클 프랭크
소스

이것이 어떻게 질문에 대답하는지 모르겠습니다. 인증서의 내용을 게시한다고해서 해당 인증서가 전달 될 수있는 이유는 설명되지 않습니다.

— Dmitry Grigoryev

@DmitryGrigoryev :하지만 이러한 인증서는 것을 증명 않는 한 (영업 이익이 1.1.1.1이 인증서에 나열된 찾을 수 없습니다) 문제에서 혼란의 주요 지점을이었다, 전달

— 궤도의 밝기 경주

이 답변은 실제로 저자의 질문에 대한 답변입니다. 저자는 혼란과 관련하여 더 자세히 설명했지만 사실은 해당 인증서가 실제로 유효하다는 사실을 식별합니다. 질문의 저자 이후, GoDaddy가 실제로 말한 것을 제공하지 않았으며, 다른 사람과 함께 질문에 대답하기가 어렵습니다.

— Ramhound

@DmitryGrigoryev-질문이 "왜 1.1.1.1 이 안전 하다고 브라우저가 생각 합니까?" (이 페이지의 제목) 또는 "모든 주요 브라우저에서 1.1.1.1 이 신뢰할 수있는 HTTPS 웹 사이트 라고 생각할 수 있습니까?" (본문 내의 유일한 실제 질문), "1.1.1.1이 인증서에 SAN으로 나열되어 있기 때문에"이 질문에 명확하게 대답합니다.

— Dave Sherohman

@DmitryGrigoryev는 " 이러한 인증서가 전달 될 수있는 이유를 설명하지 않습니다. "그러면 완전한 인증서 정보가 포함되어 있지 않기 때문에 질문이 불분명하며 브라우저에서 TLS 구현에 대한 기술적 질문이나 정책 질문이 아닙니다. CA에 대해 설명하지만 둘 모두의 혼합

— curiousguy