Va bene avere il certificato SSL che mostra quando il server viene raggiunto dall'IP?

2

Ho fatto qualche ricerca su SSL per un documento per la scuola, quindi perdonami la mia ignoranza e la mancanza di esperienza in questo argomento. Durante la mia ricerca ho notato che alcuni siti Web quando si esegue un nslookup su di essi e poi cercano l'indirizzo IP in chrome, varia ciò che accade. Quando si nslookup google ottengo 172.217.7.174 e quando si inserisce che reindirizza a google.com come previsto. Ma quando fai lo stesso per yahoo.com ti porta a una pagina vuota. Quando lo fai per Microsoft.com 23.100.122.175 ti porta a una pagina "la tua connessione non è privata" e poi da lì, puoi vedere le informazioni per il certificato jolly di Microsofts quando fai clic su NET :: ERR_CERT_COMMON_NAME_INVALID.

Quindi le mie domande sono:

La chiave privata non dovrebbe essere tenuta segreta per un certificato? Va bene avere il tuo sito web come microsoft che visualizza il certificato nella sua interezza? Se qualcuno ottiene il tuo cert non possono falsificare i tuoi siti web? Non dovresti implementare una sorta di reindirizzamento per indirizzi IP come un 301 o qualcosa del genere?

    
posta DuckOnQuack 27.09.2018 - 17:49
fonte

2 risposte

2

Il certificato non viene mostrato solo quando si accede tramite IP. Su Firefox, se si fa clic sull'icona del lucchetto e si mostrano ulteriori informazioni, è possibile ottenere il certificato del sito a cui si sta accedendo. Sono informazioni pubbliche, quindi non è necessario proteggerle.

Is it okay to have your website like Microsoft's that displays the cert in its entirety?

Il certificato non contiene la chiave privata, solo la chiave pubblica. Altrimenti non ci sarebbe alcuna sicurezza nell'implementazione di un certificato.

If someone gets your certificate can't they spoof your websites?

No, l'attaccante ha bisogno anche della chiave privata del certificato. Il certificato contiene solo la chiave pubblica, la chiave privata è memorizzata sul server, di solito su un'appliance molto speciale (l'Hardware Security Module - HSM).

Shouldn't you be implementing some sort of redirect for IP addresses like a 301 or something?

Pochissime persone tenteranno mai di accedere a Google o Yahoo o qualsiasi altra cosa utilizzi l'IP, e di solito i certificati non vengono rilasciati per gli indirizzi IP. Quindi è un'eccezione così rara che non ha davvero bisogno di essere indirizzata.

    
risposta data 27.09.2018 - 18:12
fonte
2

Isn't the private key for a cert supposed to be kept a secret? Is it okay to have your website like microsoft's that displays the cert in its entirety? If someone gets your cert cant they spoof your websites? Shouldn't you be implementing some sort of redirect for IP addresses like a 301 or something?

La chiave privata viene mantenuta privata - e dovrebbe essere mantenuto privato. Ma non stai vedendo la chiave privata. Stai visualizzando la chiave pubblica e il certificato, che autentica che la chiave privata corrispondente è controllata da Microsoft.

Se si desidera vedere il certificato di qualsiasi sito Web protetto da TLS, premere F12 (almeno in Chrome e FF) e controllare la scheda di sicurezza della console. Ti mostrerà il certificato completo, ma non la chiave privata.

Il motivo per cui ricevi un avviso quando inserisci un IP è che il browser confronta il nome nel certificato (ad esempio www.microsoft.com) con quanto indicato nel Common Name (CN) e nel Nome alternativo del certificato. Se corrispondono, e il certificato è firmato da un'entità fidata, non viene mostrato alcun avviso. Ma quando accedi tramite IP, il nome non corrisponde a quello che hai inserito e viene visualizzato un avviso.

    
risposta data 27.09.2018 - 18:13
fonte

Leggi altre domande sui tag