Когда я захожу на https://1.1.1.1 , любой веб-браузер, который я использую, считает URL-адрес безопасным.
Вот что показывает Google Chrome:
Обычно, когда я пытаюсь зайти на сайт HTTPS через его IP-адрес, я получаю предупреждение системы безопасности, подобное этому:
Насколько я понимаю, сертификат сайта должен соответствовать домену, но средство просмотра сертификатов Google Chrome не показывает 1.1.1.1
:
Статья базы знаний GoDaddy «Могу ли я запросить сертификат для имени в интрасети или IP-адреса?» говорит:
Нет - мы больше не принимаем запросы на сертификаты для имен в интрасети или IP-адресов. Это отраслевой стандарт , а не специфичный для GoDaddy.
( акцент мой)
А также:
В результате с 1 октября 2016 года центры сертификации (ЦС) должны отзывать сертификаты SSL, использующие имена интрасети или IP-адреса .
( акцент мой)
А также:
Вместо того чтобы защищать IP-адреса и имена в интрасети, вам следует перенастроить серверы для использования полных доменных имен (FQDN), таких как www.coolexample.com .
( акцент мой)
Это произошло после обязательной даты отзыва 01 октября 2016 года, но сертификат 1.1.1.1
был выпущен 29 марта 2018 года (показано на скриншоте выше).
Как это возможно, что все основные браузеры считают, что https://1.1.1.1 является доверенным веб-сайтом HTTPS?
192.168.0.2
не существует за пределами вашей локальной сети. Если бы вы создали свой собственный самозаверяющий сертификат192.168.0.2
, вам доверяли бы, и вы могли бы использовать тот же подход для SAN, например, в доменеfake.domain
. Стоит отметить, что1.1.1.1
это не зарезервированный IP-адрес, поэтому, похоже, любой ЦС выпустил бы сертификат.