Почему мой браузер считает, что https://1.1.1.1 безопасен?

Когда я захожу на https://1.1.1.1 , любой веб-браузер, который я использую, считает URL-адрес безопасным.

Вот что показывает Google Chrome:

Обычно, когда я пытаюсь зайти на сайт HTTPS через его IP-адрес, я получаю предупреждение системы безопасности, подобное этому:

Насколько я понимаю, сертификат сайта должен соответствовать домену, но средство просмотра сертификатов Google Chrome не показывает 1.1.1.1:

Статья базы знаний GoDaddy «Могу ли я запросить сертификат для имени в интрасети или IP-адреса?» говорит:

Нет - мы больше не принимаем запросы на сертификаты для имен в интрасети или IP-адресов. Это отраслевой стандарт , а не специфичный для GoDaddy.

^{_{( акцент мой)}}

А также:

В результате с 1 октября 2016 года центры сертификации (ЦС) должны отзывать сертификаты SSL, использующие имена интрасети или IP-адреса .

^{_{( акцент мой)}}

А также:

Вместо того чтобы защищать IP-адреса и имена в интрасети, вам следует перенастроить серверы для использования полных доменных имен (FQDN), таких как www.coolexample.com .

^{_{( акцент мой)}}

Это произошло после обязательной даты отзыва 01 октября 2016 года, но сертификат 1.1.1.1был выпущен 29 марта 2018 года (показано на скриншоте выше).

Как это возможно, что все основные браузеры считают, что https://1.1.1.1 является доверенным веб-сайтом HTTPS?

Английский неоднозначен . Вы анализировали это так:

(intranet names) or (IP addresses)

т.е. запретить использование числовых IP-адресов полностью. Значение, которое соответствует тому, что вы видите:

intranet (names or IP addresses)

т.е. запретить сертификаты для частных диапазонов IP-адресов, таких как 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16, а также для частных имен, которые не отображаются в общедоступном DNS.

Сертификаты для публично маршрутизируемых IP-адресов по-прежнему разрешены, но обычно не рекомендуется для большинства людей, особенно для тех, у кого нет статического IP- адреса .

Это утверждение является советом, а не утверждением, что вы не можете защитить (публичный) IP-адрес.

Вместо того, чтобы защищать IP-адреса и имена в интрасети, вы должны перенастроить серверы для использования полных доменных имен (FQDN), таких как www.coolexample.com

Может быть, кто-то в GoDaddy неверно истолковал формулировку, но, скорее всего, он хотел, чтобы их советы были простыми, и хотел рекомендовать использовать публичные DNS-имена в сертификатах.

Большинство людей не используют стабильный статический IP для своих услуг. Предоставление услуг DNS - это единственный случай, когда действительно необходимо иметь стабильный общеизвестный IP-адрес, а не просто имя. В остальных случаях включение вашего текущего IP-адреса в ваш сертификат SSL ограничит ваши будущие возможности, потому что вы не можете позволить кому-то другому начать использовать этот IP-адрес. Они могут выдать себя за ваш сайт.

Cloudflare.com имеет контроль в 1.1.1.1 IP - адрес себя, и не собирается делать ничего другого с ним в обозримом будущем, так что имеет смысл для них , чтобы поместить их IP в их серт. Особенно в качестве поставщика DNS , более вероятно, что клиенты HTTPS будут посещать их URL по номеру, чем для любого другого сайта.

Документация GoDaddy ошибочна. Неверно, что центры сертификации (CA) должны отзывать сертификаты для всех IP-адресов ... только зарезервированные IP-адреса .

^{_{Источник: https://cabforum.org/internal-names/}}

Центром сертификации для https://1.1.1.1 был DigiCert , который на момент написания этого ответа позволял покупать сертификаты сайта для публичных IP-адресов.

В DigiCert есть статья об этом, которая называется « Выпуск сертификата SSL имени внутреннего сервера после 2015 года» :

Если вы являетесь администратором сервера и используете внутренние имена, вам необходимо либо перенастроить эти серверы для использования публичного имени, либо перейти на сертификат, выданный внутренним ЦС, до даты окончания 2015 года. Все внутренние соединения, которые требуют публично доверенного сертификата, должны быть сделаны через имена, которые являются общедоступными и проверяемыми (не имеет значения, являются ли эти службы общедоступными)

^{_{( акцент мой)}}

Cloudflare просто получил сертификат для своего IP-адреса 1.1.1.1от этого доверенного CA.

Анализ сертификата для https://1.1.1.1 показывает, что сертификат использует альтернативные имена субъектов (SAN) для охвата некоторых IP-адресов и обычных доменных имен:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Эта информация также находится в средстве просмотра сертификатов Google Chrome на вкладке «Сведения»:

Этот сертификат действителен для всех перечисленных доменов (включая подстановочный знак *) и IP-адресов.

Похоже, что имя субъекта сертификата включает в себя IP-адрес:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Традиционно я полагаю, что вы бы указали здесь только DNS-имена, но Cloudflare также включил их IP-адреса.

https://1.0.0.1/ также считается безопасным для браузеров.