ブラウザがhttps://1.1.1.1が安全であると考えるのはなぜですか?


133

私が訪れたときhttps://1.1.1.1を、私が使用して、任意のWebブラウザでは、URLが安全であると考えています。

これは、Google Chromeが示すものです。

https://1.1.1.1を表示するGoogle Chrome 65.0.3325.181アドレスバー

通常、IPアドレスを使用してHTTPSサイトにアクセスしようとすると、次のようなセキュリティ警告が表示されます。

https://192.168.0.2を表示するGoogle Chrome 65.0.3325.181アドレスバー

私の理解では、サイト証明書はドメインと一致する必要がありますが、Google Chrome証明書ビューアには表示されません1.1.1.1

証明書ビューア:* .cloudflare-dns.com

GoDaddyのナレッジベース記事「イントラネット名またはIPアドレスの証明書を要求できますか?」言う:

いいえ-イントラネット名またはIPアドレスの証明書要求を受け付けなくなりました。これは業界全体の標準であり、GoDaddyに固有のものではありません。

強調鉱山)

そしてまた:

その結果、2016年10月1日から、証明機関(CA)は、イントラネット名またはIPアドレスを使用するSSL証明書を失効させる必要があります

強調鉱山)

そして:

IPアドレスとイントラネット名を保護する代わりにwww.coolexample.comなどの完全修飾ドメイン名(FQDN)を使用するようにサーバーを再構成する必要があります。

強調鉱山)

強制失効日が2016年10月1日を過ぎた後でも、1.1.1.12018年3月29日に証明書が発行されました(上のスクリーンショットを参照)。


すべての主要なブラウザがhttps://1.1.1.1が信頼できるHTTPS Webサイトであると考える可能性はありますか?


10
192.168.0.2と1.1.1.1には大きな違いがあると指摘する価値があります。1つ192.168.0.2はイントラネットの外部には存在しません。独自の自己署名証明書を作成した場合は192.168.0.2信頼され、SANの場合と同様のドメインで同じアプローチを使用できますfake.domain1.1.1.1これは予約済みのIPアドレスではないので、CAが証明書を発行したと思われます。
ラムハウンド

12
blog.cloudflare.com/announcing-1111「今日、1.1.1.1のリリースでその使命に向けてさらなる一歩を踏み出すことに興奮しています。これは、インターネット最速のプライバシー

11
私はあなたが間違った文を括弧で括っていると思います。おそらく、「(イントラネット名)またはIPアドレスを使用するSSL証明書を取り消す必要はありません」ではなく、「イントラネット(名前またはIPアドレス)を使用するSSL証明書を取り消す必要があります」。
マチェイピエチョトカ

1
@MaciejPiechotkaが、これは「イントラネット名またはイントラネットIPアドレスを使用してSSL証明書を失効しなければならない」を意味し、正確である
ベン・

2
ところで...強制的な取り消しというものはありません。文字通り、地球上の組織にはそのような力はありません。最も近いのは、物事を行うことに同意しているCAの束です。
cHao

回答:


95

英語はあいまいです。次のように解析していました。

(intranet names) or (IP addresses)

すなわち、数値IPアドレスの使用を完全に禁止します。見ているものと一致する意味は次のとおりです。

intranet (names or IP addresses)

つまり、10.0.0.0 / 8、172.16.0.0 / 12、192.168.0.0 / 16などのプライベートIP範囲の証明書、およびパブリックDNSに表示されないプライベート名の証明書を禁止します。

パブリックにルーティング可能なIPアドレスの証明書は引き続き許可されますが、ほとんどの人、特に静的IPも所有していない人には一般的にお勧めしません。


この声明はアドバイスであり、(パブリック)IPアドレスを保護できないという主張ではありません

IPアドレスとイントラネット名を保護する代わりに、www.coolexample.comなどの完全修飾ドメイン名(FQDN)を使用するようにサーバーを再構成する必要があります

GoDaddyの誰かが言い回しを誤って解釈していたかもしれませんが、おそらくアドバイスをシンプルに保ち、証明書にパブリックDNS名を使用することを推奨したかったのでしょう。

ほとんどの人は、サービスに安定した静的IPを使用しません。DNSサービスを提供することは、名前だけでなく安定した既知のIPを持つことが本当に必要な1つのケースです。 他の人にとって、現在のIPをSSL証明書に入れると、他の人にそのIPの使用を開始させることができなくなるため、将来のオプションが制約されます。彼らはあなたのサイトになりすますことができます。

Cloudflare.com 、1.1.1.1 IPアドレス自体を制御しており、近い将来、これとは異なることをする予定はないため、証明書にIPを入れることは理にかなっています。特にDNSプロバイダーとして、 HTTPSクライアントは他のサイトよりも番号でURLにアクセスする可能性が高くなります。


5
これは、私が混乱した理由を正確に答えています。記事の文言を改善するためにGoDaddyに提案を送りました。CABフォーラムで文書化さているように、「(内部サーバー名)または(予約済みIPアドレス)」を明確にするために修正されることを願っています。
デルティック

14
Pedantically、Cloudflare 1.1.1.1アドレスを「所有」しませんAPNIC Labs所有しています。APNICLabsは、誤ってそのIPに宛てられた大量のガベージパケットの調査におけるCloudflareの支援と引き換えに、Cloudflareで DNSリゾルバを操作する許可を与えました。
ケビン

12
率直に言って、@ Kevin、APNICはそれも所有していません。この記事では所有権の問題に言及し、「に割り当てられた」というフレーズを使用します。ICANNの一部であるIANAは、そのようなアドレスをCloudflareに割り当てたAPNICにアドレス範囲を割り当てました。IPv4アドレスは、単に0-4294967296から数字を書き込むための派手な方法です(多くのオペレーティングシステムで16843009にpingを送信すると、1.1.1.1から応答が返されることがわかります)。 「ペンティアム」という名前が付けられた理由)
-TOOGAM

5
Intelのものは所有権ではなく商標の事例でした…
StarWeaver

3
@TOOGAM:具体的にリンクしたwhoisシステムでは、1.1.1.1がAPNICラボに割り当てられています。割り当てと所有権の違いを選ぶなら、「割り当て」の意味をひねらないでください。
ケビン

102

GoDaddyのドキュメントは間違っています。証明機関(CA)が...すべてのIPアドレスのための証明書を失効しなければならないというのは本当ではないだけで予約されたIPアドレスを

ソース:https : //cabforum.org/internal-names/

https://1.1.1.1のCA はDigiCertでしたが、この回答の執筆時点では、パブリックIPアドレスのサイト証明書を購入できます。

DigiCertには、このことに関する2015年以降の内部サーバー名SSL証明書発行に関する記事があります

内部名を使用するサーバー管理者の場合、パブリック名を使用するようにそれらのサーバーを再構成するか、2015年の締切日より前に内部CAによって発行された証明書に切り替える必要があります。公的に信頼された証明書を必要とするすべての内部接続は、公開され検証可能な名前を介して行われる必要があります(これらのサービスが公的にアクセス可能かどうかは関係ありません)。

強調鉱山)

Cloudflareは、1.1.1.1その信頼できるCAからIPアドレスの証明書を取得しただけです。

https://1.1.1.1の証明書を解析すると、証明書がサブジェクトの別名(SAN)を使用していくつかのIPアドレスと通常のドメイン名を含むことが明らかになります。

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

この情報は、[詳細]タブのGoogle Chrome証明書ビューアにもあります。

証明書ビューア:詳細:* .cloudflare-dns.com

この証明書は、リストされているすべてのドメイン(ワイルドカードを含む*)およびIPアドレスに有効です。


記事のリンクが機能していないようです。関連情報を引用するのが最善です。
ラムハウンド

11
誤解を招くほど誤解していないと思います。「(イントラネット名)またはIPアドレスを使用するSSL証明書を無効にする必要はありません」ではなく、「イントラネット(名前またはIPアドレス)を使用するSSL証明書を無効にする必要があります」
マチェイピエチョトカ

3
まあ、それ「イントラネット名またはIPアドレス」と言います。イントラネット名、またはイントラネットIPアドレス。間違いではなく、OPが選択的に読み取るだけです。
オービットの明度レース

45

証明書サブジェクトの代替名にIPアドレスが含まれているように見えます:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

従来は、ここにDNS名のみを入力していましたが、CloudflareはIPアドレスも入力していました。

https://1.0.0.1/もブラウザによって安全であると見なされます。


1
これがどのように質問に答えているかわかりません。証明書の内容を投稿しても、そのような証明書が配信される理由は説明されません。
ドミトリーグリゴリエフ

18
@DmitryGrigoryev:しかし、それはそのような証明書配信されたことを証明します。これは問題の主要な混乱点でした(OPは証明書に1.1.1.1をリストできませんでした)
Orness in Orbit

3
この答えは実際に著者の質問に答えるものです。著者は混乱に関してより詳細に説明しましたが、これは事実を特定するものであり、問​​題の証明書は確かに有効です。質問の作成者であるため、GoDaddyが実際に言ったことを私たちに提供したことはありません。
ラムハウンド

4
@DmitryGrigoryev-「1.1.1.1は安全だとブラウザが考える理由」という質問の場合 (このページのタイトル)または「1.1.1.1は信頼されたHTTPS Webサイトであるとすべての主要なブラウザが考えることはどのように可能ですか?」(本文内の唯一の実際の質問)、「1.1.1.1が証明書にSANとしてリストされているため」がその質問に明確に回答します。
デイブシェロマン

@DmitryGrigoryev「そのような証明書が配信される理由を説明していない」場合、完全な証明書情報さえ含まれておらず、ブラウザでのTLS実装に関する技術的な質問でもポリシーの質問でもないため、質問は不明ですCAについてですが、両方が混在しています
-curiousguy
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.