Il gnome-software
processa i contatti 54.173.79.111
a scopo di aggiornamento, come suggerito in questo thread del forum . Non c'è nulla di intrinsecamente disonesto su questi IP, entrambi appartengono al cloud AWS.
Detto questo, non si può garantire che il traffico sia legittimo guardando solo gli IP. Questo perché indicano solo che stai contattando alcuni servizi ospitati nel cloud Amazon (e apparentemente in esecuzione su Red Hat OpenShift ).
$ dig +short -x 54.173.79.111
ec2-54-173-79-111.compute-1.amazonaws.com.
$ dig +short -x 54.231.40.234
s3-1.amazonaws.com.
(C'è anche un elenco di AWS gestito Intervalli IP in cui è possibile cercare gli indirizzi.)
Il motivo per cui ciò non verifica nulla è che 54.173.79.111
è associato a più di una sola istanza EC2. Ad esempio, hospitalpadreze.org.br
e subverticathegame.com
si risolvono anche con lo stesso indirizzo:
$ dig +short hospitalpadreze.org.br
54.173.79.111
$ dig +short subverticathegame.com 130
sub-renderedturkey.rhcloud.com.
ex-std-node683.prod.rhcloud.com.
ec2-54-173-79-111.compute-1.amazonaws.com.
54.173.79.111
Anche la verifica del CN del certificato SSL in 54.173.79.111:443
, come proposto da @ thel3l, non è una tecnica affidabile. Non sappiamo se ti stavi effettivamente connettendo tramite SSL, su quali porte e per quale hostname. Ecco una dimostrazione di come vengono offerti i diversi certificati allo stesso IP:
$ openssl s_client -connect 54.173.79.111:443 -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: C = US, ST = North Carolina, L = Raleigh, O = Red Hat Inc., CN = *.rhcloud.com
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits
Il certificato è valido per *.rhcloud.com
. Ora proviamo con un nome host diverso:
$ openssl s_client-connect 54.173.79.111:443 -servername www.cristiansandu.ro -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: CN = www.cristiansandu.ro
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits
Riceviamo invece un certificato per www.cristiansandu.ro
, sebbene sia sempre lo stesso IP. Con l'indicazione del nome del server (SNI) ci si aspetta che il certificato presentato non rimanga lo stesso se si specifica un diverso -servername
.