Se ssl certs autentica l'indirizzo ip del server, come mai non riesco a trovare un indirizzo IP nella whitelist in nessun cer sicuro o sto cercando nel posto sbagliato?

0

UPDATE Questa domanda è illogica. Https non autentica l'indirizzo IP che ho sbagliato.

Credo che la mia domanda (avrebbe dovuto essere) come posso verificare l'IP del server dal certificato? Pensavo che fosse una parte importante di questo.

;; ANSWER SECTION:
www.kiwibank.co.nz. 60  IN  CNAME   static.kbprod.cloud.
static.kbprod.cloud.    60  IN  A   54.192.135.164
static.kbprod.cloud.    60  IN  A   54.192.135.228
static.kbprod.cloud.    60  IN  A   54.192.135.182
static.kbprod.cloud.    60  IN  A   54.192.135.28
static.kbprod.cloud.    60  IN  A   54.192.135.17
static.kbprod.cloud.    60  IN  A   54.192.135.117
static.kbprod.cloud.    60  IN  A   54.192.135.110
static.kbprod.cloud.    60  IN  A   54.192.135.169

    
posta Tomachi 05.12.2017 - 18:38
fonte

2 risposte

2

One of the main benefits of ssl/https is the verification of the ip address of the server in question.

Penso che ci sia un equivoco.

SSL come comunemente usato non verifica l'indirizzo IP. Viene invece verificato che il nome nell'oggetto dei certificati corrisponda al dominio previsto (non IP). Questo controllo protegge dagli attacchi man in the middle in cui l'utente malintenzionato tenta di intercettare il traffico utilizzando un certificato pubblicamente attendibile emesso per un dominio diverso.

Quindi, HTTPS non convalida che l'IP sia corretto. Ma convalida che è connesso al server previsto, indipendentemente dall'IP. In questo modo HTTPS protegge dagli attacchi di spoofing IP - e forse è da lì che hai avuto l'idea che HTTPS controlla l'indirizzo IP. Per maggiori informazioni su questo argomento vedi Prevenire un uomo con lo spoofing nell'attacco centrale ? .

    
risposta data 05.12.2017 - 19:27
fonte
1

A meno che non mi sbagli, non credo che le informazioni IP siano archiviate ovunque nel certificato SSL. Ciò spezzerebbe la portabilità del certificato.

Ciò a cui probabilmente ti riferisci è la verifica delle richieste / risposte successive, quel tipo di verifica è configurato tramite l'handshake HTTPS iniziale ed è indipendente dal cert.

    
risposta data 05.12.2017 - 18:42
fonte

Leggi altre domande sui tag