আমার ব্রাউজারটি কেন https://1.1.1.1 সুরক্ষিত বলে মনে করে?


133

আমি যখন https://1.1.1.1.1 এ যান , আমি যে কোনও ওয়েব ব্রাউজার ব্যবহার করি তা URL টি সুরক্ষিত বলে বিবেচনা করে।

গুগল ক্রোম এটি দেখায়:

গুগল ক্রোম 65.0.3325.181 অ্যাড্রেস বার https://1.1.1.1 দেখায়

সাধারণত, যখন আমি কোনও HTTPS সাইট এর আইপি ঠিকানার মাধ্যমে দেখার চেষ্টা করি তখন আমি এই জাতীয় সুরক্ষা সতর্কতা পাই:

গুগল ক্রোম 65.0.3325.181 অ্যাড্রেস বার https://192.168.0.2 দেখায়

আমার উপলব্ধি থেকে, সাইট শংসাপত্রটি ডোমেনের সাথে মেলে নেওয়া দরকার, তবে গুগল ক্রোম শংসাপত্রের প্রদর্শনী প্রদর্শন করে না 1.1.1.1:

শংসাপত্রের প্রদর্শক: * .ক্লাউডফ্লেয়ার-ডিএনএস.কম

GoDaddy এর নলেজবেইস নিবন্ধ "আমি কি কোনও ইন্ট্রনেটের নাম বা আইপি ঠিকানার জন্য একটি শংসাপত্রের অনুরোধ করতে পারি?" বলেছেন:

না - আমরা আর ইন্ট্রনেটের নাম বা আইপি ঠিকানাগুলির জন্য শংসাপত্রের অনুরোধগুলি গ্রহণ করি না। এটি একটি শিল্প-বিস্তৃত মান , গোডাড্ডির ক্ষেত্রে নির্দিষ্ট নয়।

( জোর আমার)

এবং আরো:

ফলস্বরূপ, 1 অক্টোবর, 2016 কার্যকর , শংসাপত্র কর্তৃপক্ষ (সিএ) অবশ্যই এসএসএল শংসাপত্রগুলি প্রত্যাহার করতে হবে যা ইন্ট্রানেটের নাম বা আইপি ঠিকানা ব্যবহার করে

( জোর আমার)

এবং:

আইপি অ্যাড্রেস এবং ইন্ট্রানেটের নামগুলি সুরক্ষার পরিবর্তে আপনার পুরো কোয়ালিফাইড ডোমেন নামগুলি (এফকিউডিএন), যেমন www.coolexample.com হিসাবে সার্ভারগুলি পুনরায় কনফিগার করা উচিত ।

( জোর আমার)

বাধ্যতামূলক প্রত্যাবর্তনের তারিখ 01 অক্টোবর 2016 এর পরে এটি বেশ ভাল, তবুও এর জন্য শংসাপত্র 1.1.1.129 মার্চ 2018 এ জারি করা হয়েছিল (উপরের স্ক্রিনশটে দেখানো হয়েছে)।


এটা কীভাবে সম্ভব হলো সমস্ত প্রধান ব্রাউজার মনে করেন যে, যে https://1.1.1.1 একটি বিশ্বস্ত HTTPS দ্বারা ওয়েব সাইট কোনটি?


10
192.168.0.2 এবং 1.1.1.1 এর মধ্যে উল্লেখযোগ্য মূল্য রয়েছে। এক 192.168.0.2আপনার ইন্ট্রানেট বাইরে কোন অস্তিত্ব নেই। যদি আপনার তৈরি করা আপনার নিজের স্ব-স্বাক্ষরিত সার্টিফিকেট 192.168.0.2বিশ্বাস করা হবে, এবং আপনি San জন্য একই পদ্ধতির ব্যবহার করতে পারে, মত কোনো ডোমেনে fake.domain। উল্লেখযোগ্য যে 1.1.1.1এটি কোনও সংরক্ষিত আইপি ঠিকানা নয়, সুতরাং এটি উপস্থিত রয়েছে যে কোনও সিএ শংসাপত্র জারি করত।
রামহাউন্ড

12
ব্লগ.ক্লাউডফ্লেরে / আনানসিং১১১১১১ "ইন্টারনেটের দ্রুততম, গোপনীয়তার-প্রথম গ্রাহক ডিএনএস পরিষেবা

11
আমি মনে করি আপনি বাক্যটিকে ভুল বলে মনে করছেন। তারা সম্ভবত বোঝাতে চেয়েছিলেন 'অবশ্যই এসএসএল শংসাপত্রগুলি প্রত্যাহার করতে হবে যা ইন্ট্রনেট ব্যবহার করে (নাম বা আইপি ঠিকানা)' নয় '' অবশ্যই SSL (শংসাপত্রের নাম) বা আইপি ঠিকানা ব্যবহার করে এমন শংসাপত্র প্রত্যাহার করতে হবে '।
ম্যাকিয়েজ পাইচোটকা

1
@ ম্যাসিজেপাইকোটকা সঠিক, এর অর্থ "এসএসএল শংসাপত্রগুলি অবশ্যই বাতিল করতে হবে যা ইন্ট্রানেট নাম বা ইন্ট্রানেট আইপি ঠিকানা ব্যবহার করে"
বেন

2
বিটিডাব্লু ... বাধ্যতামূলক প্রত্যাহার বলে কিছু নেই। আক্ষরিক অর্থে পৃথিবীর কোনও সংস্থারই এ জাতীয় শক্তি নেই। আপনি যে নিকটতম পান সেটি হ'ল একগুচ্ছ সিএ কিছু করার জন্য সম্মত।
সিএইচও

উত্তর:


95

ইংরাজী অস্পষ্ট । আপনি এটি এভাবে পার্সিং করছেন:

(intranet names) or (IP addresses)

অর্থাত্ সংখ্যার আইপি অ্যাড্রেস পুরোপুরি ব্যবহার নিষিদ্ধ করুন। আপনি যা দেখছেন তার সাথে মেলে এমন অর্থ:

intranet (names or IP addresses)

অর্থাত্ 10.0.0.0/8, 172.16.0.0/12, এবং 192.168.0.0/16 এর মতো প্রাইভেট আইপি রেঞ্জের জন্য শংসাপত্রগুলি নিষিদ্ধ করুন , সেইসাথে সরকারী ডিএনএসে দৃশ্যমান নয় এমন ব্যক্তিগত নামের জন্য।

সর্বজনীনভাবে রাউটেবল আইপি অ্যাড্রেসগুলির শংসাপত্রগুলি এখনও অনুমোদিত হয়, বেশিরভাগ লোকের জন্য সাধারণত সুপারিশ করা হয় না, বিশেষত যারা স্ট্যাটিক আইপিও রাখেন না।


এই বিবৃতিটি পরামর্শ, এমন কোনও দাবি নয় যা আপনি কোনও (সার্বজনীন) আইপি ঠিকানাটি সুরক্ষিত করতে পারবেন না

আইপি ঠিকানা এবং ইন্ট্রনেটের নামগুলি সুরক্ষিত করার পরিবর্তে আপনার পুরো কোয়ালিফাইড ডোমেন নামগুলি (এফকিউডিএন) যেমন www.coolexample.com ব্যবহার করার জন্য সার্ভারগুলি পুনরায় কনফিগার করা উচিত should

হতে পারে গোডাড্ডির কেউ শব্দটির ভুল ব্যাখ্যা দিচ্ছে, তবে সম্ভবত তারা তাদের পরামর্শটি সহজ রাখতে চেয়েছিল এবং সার্টিফিকেটে পাবলিক ডিএনএস নাম ব্যবহার করার পরামর্শ দিতে চেয়েছিল।

বেশিরভাগ লোকেরা তাদের পরিষেবার জন্য একটি স্থিতিশীল স্ট্যাটিক আইপি ব্যবহার করে না। ডিএনএস পরিষেবাদি সরবরাহ করা হ'ল একটি ক্ষেত্রে কেবলমাত্র নামের পরিবর্তে স্থিতিশীল সুপরিচিত আইপি থাকা সত্যই প্রয়োজন। অন্য কারও জন্য, আপনার এসএসএল সার্টে আপনার বর্তমান আইপি স্থাপন করা আপনার ভবিষ্যতের বিকল্পগুলিকে সীমাবদ্ধ করবে কারণ আপনি অন্য কাউকে সেই আইপিটি ব্যবহার শুরু করতে দিতে পারেন নি। তারা আপনার সাইটের ছদ্মবেশ তৈরি করতে পারে।

ক্লাউডফ্লেয়ার ডট কমের নিজস্ব 1.1.1.1 আইপি ঠিকানার নিয়ন্ত্রণ রয়েছে এবং অদূর ভবিষ্যতে এটির সাথে আলাদা কিছু করার পরিকল্পনা নেই, তাই তাদের আইপিটি তাদের সার্টিফিকেটে রাখার জন্য এটি বোধগম্য । বিশেষত ডিএনএস সরবরাহকারী হিসাবে , এইচটিটিপিএস ক্লায়েন্টরা অন্য কোনও সাইটের চেয়ে সংখ্যাটি অনুসারে তাদের ইউআরএল পরিদর্শন করার সম্ভাবনা বেশি।


5
এই উত্তরগুলি হ'ল কেন আমি বিভ্রান্ত হয়েছিলাম। আমি নিবন্ধটির শব্দটির উন্নতি করার জন্য GoDaddy কে একটি পরামর্শ পাঠিয়েছি । আশা করি তারা সিএবি ফোরামে নথিভুক্ত হিসাবে "(অভ্যন্তরীণ সার্ভারের নাম) বা (সংরক্ষিত আইপি ঠিকানা)" স্পষ্ট করার জন্য এটি ঠিক করবেন ।
ডেলটিক

14
নীতিবাগীশীদের মতো, Cloudflare নেই "নিজস্ব" 1.1.1.1 ঠিকানা। এটি APNIC ল্যাবসের মালিকানাধীন , যারা ক্লাউডফ্লেয়ারকে সেখানে আইপি-তে ভুলভাবে সম্বোধন করা বড় আকারের ময়লা-আবর্জনার প্যাকেটের অধ্যয়নের জন্য ক্লাউডফ্লেয়ারের সহায়তার বিনিময়ে সেখানে একটি ডিএনএস রেজলভার পরিচালনার অনুমতি দিয়েছিল ।
কেভিন

12
পেডেন্টালি, কেভিন, এপনিক এটিরও মালিক নয়। এই নিবন্ধটিতে মালিকানা সম্পর্কিত বিষয়টি উল্লেখ করা হয়েছে, এবং "বরাদ্দ করা" বাক্যাংশটি ব্যবহার করা হয়েছে। আইএএনএএনএর অংশ আইএএনএ, এডএনআইসি-কে ঠিকানা সীমা বরাদ্দ করেছে যারা ক্লাউডফ্লেয়ারে এই জাতীয় ঠিকানা বরাদ্দ করেছে। আইপিভি 4 অ্যাড্রেসগুলি কেবল 0-4294967296 (যদি আপনি অনেক অপারেটিং সিস্টেমে 16843009 পিং করেন তবে আপনি ১.১.১.১ থেকে প্রতিক্রিয়া পেয়ে যাবেন) থেকে কোনও সংখ্যা লেখার অভিনব উপায় and মার্কিন যুক্তরাষ্ট্রে কোনও সংখ্যার মালিকানা স্বীকৃতি দেবে না (অতএব) "পেন্টিয়াম" নামটি কেন তৈরি করা হয়েছিল)
তোগাম

5
ইন্টেল জিনিসটি ট্রেডমার্কের একটি বিষয় ছিল, মালিকানা নয় ...
স্টারওয়েভার

3
@ টুগাম: আমার অর্থ হ'ল, হুইস সিস্টেমে, যা আমি বিশেষভাবে সংযুক্ত করেছি, 1.1.1.1 এপনিক ল্যাবগুলিতে বরাদ্দ করা হয়েছে। যদি আপনি বরাদ্দ বনাম মালিকানা সম্পর্কে নিট তুলতে চলেছেন তবে "বরাদ্দ করা" এর অর্থটি মুছবেন না।
কেভিন

102

GoDaddy ডকুমেন্টেশন ভুল হয়েছে। এটি সত্য নয় যে শংসাপত্র কর্তৃপক্ষগুলি (সিএ) অবশ্যই সমস্ত আইপি ঠিকানার জন্য শংসাপত্র প্রত্যাহার করে ... কেবলমাত্র সংরক্ষিত আইপি ঠিকানাগুলি

সূত্র: https://cabforum.org/intern-names/

জন্য CA https://1.1.1.1 ছিল DigiCert , যা এই উত্তর লেখার হিসাবে, পাবলিক আইপি ঠিকানার জন্য ক্রয় সাইটে সার্টিফিকেট অনুমতি নেই।

ডিজিকার্টের এই সম্পর্কিত একটি নিবন্ধ রয়েছে যা 2015 এর পরে অভ্যন্তরীণ সার্ভার নাম এসএসএল শংসাপত্র ইস্যু বলে :

আপনি যদি অভ্যন্তরীণ নামগুলি ব্যবহার করে কোনও সার্ভার প্রশাসক হন, আপনাকে পাবলিক নাম ব্যবহার করতে হয় সেই সার্ভারগুলিকে পুনরায় কনফিগার করতে হবে বা 2015 এর কাট অফের তারিখের আগে কোনও অভ্যন্তরীণ সিএ দ্বারা জারি করা শংসাপত্রটিতে স্যুইচ করতে হবে। সমস্ত অভ্যন্তরীণ সংযোগগুলির জন্য যেগুলি সর্বজনীনভাবে বিশ্বাসযোগ্য শংসাপত্রের প্রয়োজন তা অবশ্যই এমন নামগুলির মাধ্যমে সম্পন্ন করতে হবে যা সর্বজনীন এবং যাচাইযোগ্য (এই পরিষেবাগুলি সর্বজনীনভাবে অ্যাক্সেসযোগ্য কিনা তা বিবেচ্য নয়)।

( জোর আমার)

ক্লাউডফ্লেয়ার কেবল 1.1.1.1সেই বিশ্বস্ত সিএ থেকে তাদের আইপি ঠিকানার জন্য একটি শংসাপত্র পেয়েছে।

শংসাপত্র পার্সিং https://1.1.1.1 প্রকাশ শংসাপত্র কিছু IP ঠিকানা এবং সাধারণ ডোমেইন নাম চুক্তি সমপ্ন বিষয় বিকল্প নাম (SAN) ব্যবহার করে যে:

deltik@node51 [~]$ openssl s_client -showcerts -connect 1.1.1.1:443 < /dev/null 2>&1 | openssl x509 -noout -text | grep -A1 'Subject Alternative Name:'
            X509v3 Subject Alternative Name: 
                DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001

এই তথ্যটি "বিশদ" ট্যাব এর অধীনে গুগল ক্রোম শংসাপত্রের ভিউয়ার মধ্যে রয়েছে:

শংসাপত্রের প্রদর্শক: বিশদ: * .ক্লাউডফ্লেয়ার-ডিএনএস.কম

এই শংসাপত্রটি তালিকাভুক্ত সমস্ত ডোমেন (ওয়াইল্ডকার্ড সহ *) এবং আইপি ঠিকানাগুলির জন্য বৈধ ।


আপনার নিবন্ধ লিঙ্কটি কাজ করছে বলে মনে হচ্ছে না। প্রাসঙ্গিক তথ্য উদ্ধৃত সেরা।
রামহাউন্ড

11
আমি মনে করি এটি যতটা বিভ্রান্তিকর হয়েছে ততটা ভুল হয়নি। এটি ব্র্যাককেট হওয়া উচিত কারণ 'এসএসএল শংসাপত্রগুলি অবশ্যই প্রত্যাহার করতে হবে যা ইন্ট্রনেট ব্যবহার করে (নাম বা আইপি ঠিকানা)' নয় '' অবশ্যই SSL (শংসাপত্রের নাম) বা আইপি ঠিকানা ব্যবহার করে এমন শংসাপত্র প্রত্যাহার করতে হবে '।
ম্যাকিয়েজ পাইচোটকা

3
ওয়েল, এটা না বলুন "ইন্ট্রানেট নাম বা আইপি ঠিকানা"। ইন্ট্রানেটের নাম, বা ইন্ট্রানেট আইপি ঠিকানা। এটি ভুল নয়, এটি কেবল ওপি কেবল বেছে বেছে এটি পড়তে পারে।
অরবিট

45

দেখে মনে হচ্ছে শংসাপত্র সাবজেক্ট Alt নামের মধ্যে IP ঠিকানা অন্তর্ভুক্ত রয়েছে:

Not Critical
DNS Name: *.cloudflare-dns.com
IP Address: 1.1.1.1
IP Address: 1.0.0.1
DNS Name: cloudflare-dns.com
IP Address: 2606:4700:4700::1111
IP Address: 2606:4700:4700::1001

Ditionতিহ্যগতভাবে আমি অনুমান করি আপনি এখানে কেবল ডিএনএস নাম রাখতেন তবে ক্লাউডফ্লেয়ার তাদের আইপি ঠিকানাগুলিও এতে রেখেছিল।

https://1.0.0.1/ এ ব্রাউজারগুলির দ্বারা সুরক্ষিতও বিবেচিত হয়।


1
আমি দেখতে পাচ্ছি না কীভাবে এটি প্রশ্নের উত্তর দেয়। শংসাপত্রের সামগ্রী পোস্ট করা কেন এমন শংসাপত্র বিতরণ করা যায় তা ব্যাখ্যা করে না।
দিমিত্রি গ্রিগরিয়েভ

18
@ দিমিত্রিগ্রিরিভ: তবে এটি প্রমাণ করে যে এই জাতীয় শংসাপত্র সরবরাহ করা হয়েছিল, যা প্রশ্নে বিভ্রান্তির একটি প্রধান বিষয় ছিল (ওপি সার্টে তালিকাভুক্ত 1.1.1.1 খুঁজে পায়নি)
অরবিট-

3
এই উত্তরটি প্রকৃতপক্ষে লেখকের প্রশ্নের উত্তর দেয়। লেখক তাদের বিভ্রান্তির বিষয়ে আরও বিশদে গিয়েছিলেন, এটি সত্যটি চিহ্নিত করে, প্রশ্নে শংসাপত্রটি সত্যই বৈধ। যেহেতু প্রশ্নের লেখক, GoDaddy আসলে যা বলেছিল তা কখনই আমাদের সরবরাহ করেনি, অন্য কোনও প্রশ্নের সাথে প্রশ্নের উত্তর দেওয়া কঠিন difficult
রামহাউন্ড

4
@ দিমিত্রিগ্রিরিভ - যদি প্রশ্নটি হয় "আমার ব্রাউজারটি কেন মনে করে যে 1.1.1.1 সুরক্ষিত?" (এই পৃষ্ঠার শিরোনাম) বা "এটি কীভাবে সম্ভব যে সমস্ত বড় ব্রাউজারগুলি মনে করে যে 1.1.1.1 একটি বিশ্বস্ত এইচটিটিপিএস ওয়েবসাইট?" (দেহের মধ্যে একমাত্র আসল প্রশ্ন), তারপরে "কারণ ১.১.১.১ শংসাপত্রে SAN হিসাবে তালিকাভুক্ত করা হয়েছে" সেই প্রশ্নের স্পষ্ট উত্তর দেয়।
ডেভ শেরোহমান

@ দিমিত্রিগ্রিরিভ " এই জাতীয় শংসাপত্র কেন সরবরাহ করা যেতে পারে " তা ব্যাখ্যা করে না "তবে প্রশ্নটি অস্পষ্ট, কারণ এতে সম্পূর্ণ শংসাপত্রের তথ্যও নেই এবং এটি ব্রাউজারগুলিতে টিএলএস বাস্তবায়ন সম্পর্কে কোনও প্রযুক্তিগত প্রশ্ন বা নীতি সম্পর্কিত প্রশ্ন নয় is সিএ সম্পর্কে, তবে উভয়ের মিশ্রণ
কৌতূহলী
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.