Mengapa browser saya berpikir bahwa https://1.1.1.1 aman?

Ketika saya mengunjungi https://1.1.1.1 , browser web apa pun yang saya gunakan menganggap URL itu aman.

Inilah yang ditunjukkan Google Chrome:

Biasanya, ketika saya mencoba mengunjungi situs HTTPS melalui alamat IP-nya, saya mendapatkan peringatan keamanan seperti ini:

Dari pemahaman saya, sertifikat situs harus sesuai dengan domain, tetapi Penampil Sertifikat Google Chrome tidak menunjukkan 1.1.1.1:

Artikel pengetahuan GoDaddy "Bisakah saya meminta sertifikat untuk nama intranet atau alamat IP?" mengatakan:

Tidak - kami tidak lagi menerima permintaan sertifikat untuk nama intranet atau alamat IP. Ini adalah standar industri , bukan yang khusus untuk GoDaddy.

^{_{( penekanan milikku)}}

Dan juga:

Akibatnya, efektif 1 Oktober 2016 , Otoritas Sertifikasi (CA) harus mencabut sertifikat SSL yang menggunakan nama intranet atau alamat IP .

^{_{( penekanan milikku)}}

Dan:

Alih-alih mengamankan alamat IP dan nama intranet, Anda harus mengkonfigurasi ulang server untuk menggunakan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN), seperti www.coolexample.com .

^{_{( penekanan milikku)}}

Ini baik setelah tanggal pencabutan wajib 01 Oktober 2016, namun sertifikat untuk 1.1.1.1dikeluarkan pada 29 Maret 2018 (ditunjukkan pada gambar di atas).

Bagaimana mungkin semua browser utama berpikir bahwa https://1.1.1.1 adalah situs web HTTPS tepercaya?

Bahasa Inggris bersifat mendua . Anda menguraikannya seperti ini:

(intranet names) or (IP addresses)

yaitu melarang penggunaan alamat IP numerik sepenuhnya. Arti yang cocok dengan apa yang Anda lihat adalah:

intranet (names or IP addresses)

yaitu larangan sertifikat untuk rentang IP pribadi seperti 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16, serta untuk nama pribadi yang tidak terlihat pada DNS publik.

Sertifikat untuk alamat IP yang dapat dirutekan secara publik masih diperbolehkan, hanya saja umumnya tidak disarankan untuk kebanyakan orang, terutama mereka yang tidak juga memiliki IP statis.

Pernyataan ini adalah saran, bukan klaim bahwa Anda tidak dapat mengamankan alamat IP (publik).

Alih-alih mengamankan alamat IP dan nama intranet, Anda harus mengkonfigurasi ulang server untuk menggunakan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN), seperti www.coolexample.com

Mungkin seseorang di GoDaddy salah mengartikan kata-kata itu, tetapi lebih mungkin mereka ingin menjaga saran mereka tetap sederhana, dan ingin merekomendasikan penggunaan nama DNS publik dalam sertifikat.

Kebanyakan orang tidak menggunakan IP statis yang stabil untuk layanan mereka. Menyediakan layanan DNS adalah satu-satunya kasus di mana benar-benar diperlukan untuk memiliki IP terkenal yang stabil alih-alih hanya nama. Untuk orang lain, memasukkan IP Anda saat ini ke sertifikat SSL Anda akan membatasi pilihan Anda di masa depan, karena Anda tidak bisa membiarkan orang lain mulai menggunakan IP itu. Mereka bisa menyamar sebagai situs Anda.

Cloudflare.com memiliki kendali atas alamat IP 1.1.1.1 sendiri, dan tidak berencana untuk melakukan hal yang berbeda dengannya di masa mendatang, jadi masuk akal bagi mereka untuk memasukkan IP mereka di sertifikat mereka. Khususnya sebagai penyedia DNS , kemungkinan besar klien HTTPS akan mengunjungi URL mereka berdasarkan nomor daripada untuk situs lain mana pun.

Dokumentasi GoDaddy keliru. Tidak benar bahwa Otoritas Sertifikasi (CA) harus mencabut sertifikat untuk semua alamat IP ... hanya alamat IP yang dicadangkan .

^{_{Sumber: https://cabforum.org/internal-names/}}

CA untuk https://1.1.1.1 adalah DigiCert , yang sejak penulisan jawaban ini, tidak mengizinkan membeli sertifikat situs untuk alamat IP publik.

DigiCert memiliki artikel tentang ini yang disebut Penerbitan Sertifikat Nama Server Internal Setelah 2015 :

Jika Anda adalah admin server yang menggunakan nama internal, Anda harus mengkonfigurasi ulang server tersebut untuk menggunakan nama publik, atau beralih ke sertifikat yang dikeluarkan oleh CA internal sebelum tanggal cutoff 2015. Semua koneksi internal yang memerlukan sertifikat yang dipercayai publik harus dilakukan melalui nama yang bersifat publik dan dapat diverifikasi (tidak masalah jika layanan tersebut dapat diakses publik).

^{_{( penekanan milikku)}}

Cloudflare hanya mendapatkan sertifikat untuk alamat IP mereka 1.1.1.1dari CA yang tepercaya itu.

Parsing sertifikat untuk https://1.1.1.1 mengungkapkan bahwa sertifikat tersebut menggunakan Nama Alternatif Subjek (SAN) untuk mencakup beberapa alamat IP dan nama domain biasa:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

Informasi ini juga ada di Penampil Sertifikat Google Chrome di bawah tab "Perincian":

Sertifikat ini berlaku untuk semua domain yang terdaftar (termasuk wildcard *) dan alamat IP.

Sepertinya Nama Alt Subjek Sertifikat menyertakan alamat IP:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Secara tradisional saya kira Anda hanya akan memasukkan Nama DNS di sini, tetapi Cloudflare telah memasukkan Alamat IP mereka juga.

https://1.0.0.1/ juga dianggap aman oleh browser.