मेरे ब्राउज़र को क्यों लगता है कि https://1.1.1.1 सुरक्षित है?

133

जब मैं https://1.1.1.1 पर जाता हूं, तो मैं जिस भी वेब ब्राउज़र का उपयोग करता हूं, वह URL को सुरक्षित मानता है।

यह Google Chrome दिखाता है:

आम तौर पर, जब मैं अपने आईपी पते के माध्यम से एक HTTPS साइट पर जाने की कोशिश करता हूं, तो मुझे इस तरह की सुरक्षा चेतावनी मिलती है:

मेरी समझ से, साइट प्रमाणपत्र को डोमेन से मेल खाना चाहिए, लेकिन Google Chrome प्रमाणपत्र व्यूअर नहीं दिखाता है 1.1.1.1:

GoDaddy का नॉलेजबेस लेख "क्या मैं इंट्रानेट नाम या आईपी पते के लिए एक प्रमाण पत्र का अनुरोध कर सकता हूं?" कहते हैं:

नहीं - हम अब इंट्रानेट नाम या आईपी पते के लिए प्रमाणपत्र अनुरोध स्वीकार नहीं करते हैं। यह एक उद्योग-व्यापी मानक है , जो GoDaddy के लिए विशिष्ट नहीं है।

^{_{( जोर मेरा)}}

और भी:

परिणामस्वरूप, 1 अक्टूबर, 2016 से , प्रमाणीकरण प्राधिकारी (CAs) को SSL प्रमाणपत्रों को रद्द करना चाहिए जो इंट्रानेट नामों या IP पतों का उपयोग करते हैं ।

^{_{( जोर मेरा)}}

तथा:

IP पते और इंट्रानेट नामों को सुरक्षित करने के बजाय , आपको www.coolexample.com जैसे पूरी तरह से योग्य डोमेन नाम (FQDNs) का उपयोग करने के लिए सर्वर को फिर से कॉन्फ़िगर करना चाहिए ।

^{_{( जोर मेरा)}}

यह अनिवार्य संशोधन की तारीख 01 अक्टूबर 2016 के बाद ठीक है, फिर भी 1.1.1.129 मार्च 2018 को प्रमाण पत्र जारी किया गया (ऊपर स्क्रीनशॉट में दिखाया गया है)।

यह कैसे संभव है कि सभी प्रमुख ब्राउज़र सोचते हैं कि https://1.1.1.1 एक विश्वसनीय HTTPS वेबसाइट है?

— Deltik
स्रोत

192.168.0.2 और 1.1.1.1 के बीच एक बड़ा अंतर है। एक 192.168.0.2अपने इंट्रानेट के बाहर मौजूद नहीं है। यदि आपने अपना स्वयं का हस्ताक्षरित प्रमाण पत्र बनाया 192.168.0.2है, तो उस पर भरोसा किया जाएगा, और आप SAN जैसे डोमेन पर उसी दृष्टिकोण का उपयोग कर सकते हैं fake.domain। यह इंगित करते हुए कि 1.1.1.1कोई आरक्षित IP पता नहीं है, इसलिए ऐसा प्रतीत होता है, किसी भी CA ने प्रमाणपत्र जारी किया होगा।

— रामहुंड

blog.cloudflare.com/announcing-1111 "हम 1.1.1.1 के लॉन्च के साथ उस मिशन की ओर एक और कदम बढ़ाने के लिए आज उत्साहित हैं - इंटरनेट की सबसे तेज, गोपनीयता-पहले उपभोक्ता DNS सेवा।"

मुझे लगता है कि आप वाक्य को गलत मानते हैं। उनका शायद मतलब था कि 'इंट्रानेट (नाम या आईपी एड्रेस) का इस्तेमाल करने वाले एसएसएल सर्टिफिकेट को जरूर रिवाइज करना चाहिए।'

— मैकीज पीचोटका

@MaciejPiechotka सही है, इसका अर्थ है "एसएसएल प्रमाणपत्रों को रद्द करना चाहिए जो इंट्रानेट नाम या इंट्रानेट आईपी पते का उपयोग करते हैं"

— बेन

BTW ... अनिवार्य निरस्तीकरण जैसी कोई चीज नहीं है। वास्तव में पृथ्वी पर किसी भी संगठन के पास उस तरह की शक्ति नहीं है। निकटतम आप एक चीज करने के लिए सहमत सीए का एक गुच्छा है।

— cHao

जवाबों:

अंग्रेजी अस्पष्ट है । आप इसे इस तरह से पार्स कर रहे थे:

(intranet names) or (IP addresses)

यानी पूरी तरह से संख्यात्मक आईपी पते के उपयोग पर प्रतिबंध। इसका अर्थ यह है कि जो आप देख रहे हैं वह मेल खाता है:

intranet (names or IP addresses)

निजी आईपी के लिए प्रतिबंध प्रमाण पत्र जैसे कि 10.0.0.0/8, 172.16.0.0/12, और 192.168.0.0/16, साथ ही निजी नाम सार्वजनिक डीएनएस पर दिखाई नहीं देते हैं।

सार्वजनिक रूप से निष्क्रिय आईपी पते के लिए प्रमाण पत्र अभी भी अनुमत हैं, आमतौर पर ज्यादातर लोगों के लिए अनुशंसित नहीं हैं, खासकर उन लोगों के लिए जो एक स्थिर आईपी के मालिक नहीं हैं।

यह कथन सलाह है, यह दावा नहीं कि आप (सार्वजनिक) आईपी पते को सुरक्षित नहीं कर सकते ।

IP पते और इंट्रानेट नाम सुरक्षित करने के बजाय, आपको www.coolexample.com जैसे पूरी तरह से योग्य डोमेन नाम (FQDNs) का उपयोग करने के लिए सर्वरों को फिर से कॉन्फ़िगर करना चाहिए।

हो सकता है कि GoDaddy पर कोई व्यक्ति शब्दों के गलत अर्थ लगा रहा था, लेकिन अधिक संभावना है कि वे अपनी सलाह को सरल रखना चाहते थे, और प्रमाणपत्रों में सार्वजनिक DNS नामों का उपयोग करने की सलाह देना चाहते थे।

अधिकांश लोग अपनी सेवा के लिए एक स्थिर स्थिर आईपी का उपयोग नहीं करते हैं। DNS सेवाएं प्रदान करना एक ऐसा मामला है जहां केवल एक नाम के बजाय एक स्थिर अच्छी तरह से ज्ञात आईपी होना आवश्यक है। किसी और के लिए, अपने एसएसएल सर्टिफिकेट में अपना वर्तमान आईपी डालने से आपके भविष्य के विकल्प बाधित होंगे, क्योंकि आप किसी और को उस आईपी का उपयोग शुरू नहीं करने दे सकते। वे आपकी साइट को प्रतिरूपित कर सकते हैं।

Cloudflare.com के पास स्वयं 1.1.1.1 IP पते का नियंत्रण है , और यह निकट भविष्य में इसके साथ कुछ अलग करने की योजना नहीं बना रहा है, इसलिए यह उनके लिए अपने आईपी को अपने प्रमाण पत्र में डालने के लिए समझ में आता है । विशेष रूप से एक DNS प्रदाता के रूप में , यह अधिक संभावना है कि HTTPS ग्राहक किसी अन्य साइट की तुलना में संख्या के आधार पर अपने URL पर जाएँगे।

— पीटर कॉर्डेस
स्रोत

यह सही उत्तर देता है कि मैं भ्रमित क्यों था। मैंने लेख के शब्दों को सुधारने के लिए GoDaddy को एक सुझाव भेजा । उम्मीद है कि वे इसे (आंतरिक सर्वर नाम) या (आरक्षित आईपी पते) को स्पष्ट करने के लिए तय करेंगे, जैसा कि कैब फोरम पर प्रलेखित है ।

— डेल्टिक

गंभीर रूप से, क्लाउडफेयर 1.1.1.1 पते को "खुद" नहीं करता है । यह APNIC लैब्स के स्वामित्व में है , जिसने क्लाउडफ्लेयर को बड़ी मात्रा में कचरे के पैकेट का अध्ययन करने के लिए क्लाउडफ्लेयर की सहायता के बदले में एक DNS रिज़ॉल्वर संचालित करने की अनुमति दी, जो गलती से उस आईपी को संबोधित करते हैं ।

— केविन

गंभीर रूप से, @ केविन, एपीएनआईसी के पास भी नहीं है। इस लेख में स्वामित्व के मुद्दे का उल्लेख है, और "आवंटित" वाक्यांश का उपयोग करता है। ICANN का हिस्सा IANA, APNIC को एड्रेस रेंज आवंटित करता है, जिसने Cloudflare को ऐसे एड्रेस आवंटित किए थे। IPv4 पते केवल 0-4294967296 से एक संख्या लिखने का एक फैंसी तरीका है (यदि आप कई ऑपरेटिंग सिस्टमों में 16843009 पिंग करते हैं, तो आप पाएंगे कि आपको 1.1.1.1 से एक प्रतिक्रिया मिलेगी) और अमेरिका एक नंबर के मालिक को पहचान नहीं पाएगा (इसलिए क्यों "पेंटियम" नाम बनाया गया था

— TOOGAM

इंटेल चीज़ ट्रेडमार्क का मामला था, स्वामित्व का नहीं ...

— StarWeaver

@TOOGAM: मेरा मतलब है कि, व्हिस सिस्टम में, जिसे मैंने विशेष रूप से जोड़ा है, 1.1.1.1 APNIC लैब्स को आवंटित किया गया है। यदि आप आवंटन बनाम स्वामित्व के बारे में चुटकी लेने जा रहे हैं, तो "आवंटित" के अर्थ को न मोड़ें।

— केविन

102

GoDaddy प्रलेखन गलत है। यह सच नहीं है कि प्रमाणीकरण प्राधिकारी (CAs) को सभी IP पतों के लिए प्रमाणपत्रों को रद्द करना चाहिए ... बस IP पतों को आरक्षित करना चाहिए ।

^{_{स्रोत: https://cabforum.org/internal-names/}}

Https://1.1.1.1 के लिए CA DigiCert था , जो इस उत्तर के लेखन के रूप में सार्वजनिक आईपी पते के लिए साइट प्रमाण पत्र खरीदने की अनुमति देता है।

DigiCert में 2015 के बाद आंतरिक सर्वर नाम SSL प्रमाणपत्र जारी करने के बारे में एक लेख है :

यदि आप आंतरिक नामों का उपयोग करने वाले एक सर्वर व्यवस्थापक हैं, तो आपको या तो सार्वजनिक नाम का उपयोग करने के लिए उन सर्वरों को फिर से कॉन्फ़िगर करना होगा, या 2015 की कटऑफ तारीख से पहले आंतरिक सीए द्वारा जारी किए गए प्रमाणपत्र पर स्विच करना होगा। सभी आंतरिक कनेक्शन जिन्हें सार्वजनिक रूप से विश्वसनीय प्रमाणपत्र की आवश्यकता होती है, उन्हें उन नामों के माध्यम से किया जाना चाहिए जो सार्वजनिक और सत्यापन योग्य हैं (इससे कोई फर्क नहीं पड़ता कि वे सेवाएं सार्वजनिक रूप से सुलभ हैं)।

^{_{( जोर मेरा)}}

क्लाउडफ़ेयर को बस 1.1.1.1उस विश्वसनीय सीए से उनके आईपी पते के लिए एक प्रमाण पत्र मिला ।

प्रमाणपत्र को https://1.1.1.1 के लिए पार्स करने से पता चलता है कि प्रमाणपत्र कुछ आईपी पते और साधारण डोमेन नाम शामिल करने के लिए विषय वैकल्पिक नाम (SANs) का उपयोग करता है:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

यह जानकारी "विवरण" टैब के तहत Google Chrome प्रमाणपत्र व्यूअर में भी है:

यह प्रमाणपत्र सभी सूचीबद्ध डोमेन (वाइल्डकार्ड सहित *) और आईपी पते के लिए मान्य है ।

— Deltik
स्रोत

आपका लेख लिंक काम नहीं करता है। संबंधित जानकारी उद्धृत करने के लिए सबसे अच्छा है।

— रामहुंड

मुझे लगता है कि यह उतना भ्रामक नहीं है जितना भ्रामक है। यह ब्रैकेट होना चाहिए क्योंकि 'इंट्रानेट (नामों या आईपी पतों) का उपयोग करने वाले एसएसएल प्रमाणपत्रों को रद्द करना चाहिए' '' '' उन एसएसएल प्रमाणपत्रों को रद्द करना चाहिए जो इंट्रानेट (नाम या आईपी पते) का उपयोग करते हैं।

— मैकीज पीचोटका

खैर, यह करता है कहते हैं कि "इंट्रानेट नाम या IP पते"। इंट्रानेट नाम, या इंट्रानेट आईपी पते। यह गलत नहीं है, यह सिर्फ ओपी है केवल इसे चुनिंदा पढ़ें।

— ऑर्बिट

ऐसा लगता है कि प्रमाणपत्र विषय Alt नाम में IP पता शामिल है:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

परंपरागत रूप से मुझे लगता है कि आपने केवल DNS नाम ही यहां रखे होंगे, लेकिन क्लाउडफ्लेयर ने अपने आईपी पते भी डाल दिए हैं।

https://1.0.0.1/ को भी ब्राउज़रों द्वारा सुरक्षित माना जाता है।

— माइकल फ्रैंक
स्रोत

मैं यह नहीं देखता कि यह सवाल का जवाब कैसे देता है। किसी प्रमाणपत्र की सामग्री पोस्ट करने से यह स्पष्ट नहीं होता है कि ऐसा प्रमाणपत्र क्यों दिया जा सकता है।

— दिमित्री ग्रिगोरीव

@DmitryGrigoryev: लेकिन यह साबित करता है कि इस तरह का एक प्रमाण पत्र दिया गया था, जो प्रश्न में भ्रम का एक प्रमुख बिंदु था (ओपी को प्रमाण में 1.1.1.1 सूचीबद्ध नहीं पाया गया)

— 10

यह उत्तर वास्तव में लेखक के प्रश्न का उत्तर देता है। जबकि लेखक अपने भ्रम के संबंध में अधिक विस्तार से गया था, यह इस तथ्य की पहचान करता है, प्रश्न में प्रमाण पत्र वास्तव में मान्य है। प्रश्न के लेखक के बाद से, GoDaddy ने वास्तव में जो कुछ भी कहा, वह हमें प्रदान नहीं किया, और किसी भी प्रश्न का उत्तर देना मुश्किल है।

— रामहुंड

@DmitryGrigoryev - यदि प्रश्न "मेरे ब्राउज़र को क्यों लगता है कि 1.1.1.1 सुरक्षित है?" (इस पृष्ठ का शीर्षक) या "यह कैसे संभव है कि सभी प्रमुख ब्राउज़र सोचते हैं कि 1.1.1.1 एक विश्वसनीय HTTPS वेबसाइट है?" (शरीर के भीतर एकमात्र वास्तविक प्रश्न), फिर "क्योंकि 1.1.1.1 को प्रमाण पत्र में SAN के रूप में सूचीबद्ध किया गया है" स्पष्ट रूप से उस प्रश्न का उत्तर देता है।

— डेव शेरोमैन

@DmitryGrigoryev " यह नहीं समझाता है कि ऐसा प्रमाण पत्र क्यों दिया जा सकता है " तो यह प्रश्न स्पष्ट नहीं है, क्योंकि इसमें पूरी प्रमाण पत्र की जानकारी भी शामिल नहीं है, और यह स्पष्ट रूप से या तो ब्राउज़रों में टीएलएस कार्यान्वयन के बारे में तकनीकी प्रश्न या नीतिगत प्रश्न नहीं है सीए के बारे में, लेकिन दोनों का मिश्रण

— जिज्ञासु