¿Está bien que su certificado SSL se muestre cuando IP llega al servidor?

2

He estado investigando SSL para un periódico escolar, así que perdona mi ignorancia y mi falta de experiencia en este tema. Mientras realizaba mi investigación, noté que algunos sitios web hacen un seguimiento de ellos y luego buscan la dirección IP en Chrome, esto varía. Cuando nslookup google obtengo 172.217.7.174 y cuando ingresas eso redirige a google.com como se esperaba. Pero cuando haces lo mismo para yahoo.com, te lleva a una página vacía. Cuando lo hace para Microsoft.com 23.100.122.175 lo lleva a la página "su conexión no es privada" y luego desde allí, puede ver la información del certificado de comodines de Microsofts al hacer clic en NET :: ERR_CERT_COMMON_NAME_INVALID.

Así que mis preguntas son:

¿No se debe mantener un secreto la clave privada de un certificado? ¿Está bien tener su sitio web como Microsoft que muestra el certificado en su totalidad? ¿Si alguien obtiene su certificado no puede falsificar sus sitios web? ¿No deberías implementar algún tipo de redireccionamiento para direcciones IP como un 301 o algo así?

    
pregunta DuckOnQuack 27.09.2018 - 17:49
fuente

2 respuestas

2

El certificado no se muestra solo cuando se accede por IP. En Firefox, si hace clic en el icono del candado y muestra más información, puede obtener el certificado del sitio al que está accediendo. Es información pública, por lo que no es necesario protegerla.

  

¿Está bien que su sitio web como el de Microsoft muestre el certificado en su totalidad?

El certificado no contiene la clave privada, solo la clave pública. De lo contrario, no habría ninguna seguridad al implementar un certificado.

  

Si alguien obtiene su certificado, ¿no pueden falsificar sus sitios web?

No, el atacante también necesita la clave privada del certificado. El certificado solo contiene la clave pública, la clave privada se almacena en el servidor, generalmente en un dispositivo muy especial (el Módulo de seguridad de hardware - HSM).

  

¿No deberías implementar algún tipo de redireccionamiento para direcciones IP como un 301 o algo así?

Muy, muy pocas personas intentarán acceder a Google o Yahoo o lo que sea usando la IP, y generalmente los certificados no se emiten para las direcciones IP. Así que es una excepción tan rara que no necesita ser tratada.

    
respondido por el ThoriumBR 27.09.2018 - 18:12
fuente
2
  

¿No se debe mantener un secreto la clave privada de un certificado? ¿Está bien tener su sitio web como Microsoft que muestra el certificado en su totalidad? ¿Si alguien obtiene su certificado no puede falsificar sus sitios web? ¿No deberías implementar algún tipo de redireccionamiento para direcciones IP como un 301 o algo así?

La clave privada se mantiene privada, y debería mantenerse privada. Pero no estás viendo la clave privada. Está viendo la clave pública y el certificado, que autentica que la clave privada correspondiente está controlada por Microsoft.

Si desea ver el certificado del cualquier sitio web con seguridad TLS, presione F12 (al menos en Chrome y FF) y verifique la pestaña de seguridad de la consola. Le mostrará el certificado completo, pero no la clave privada.

La razón por la que recibe una advertencia cuando ingresa una IP es que el navegador compara el nombre en el certificado (por ejemplo, www.microsoft.com) con lo que se indica en el Nombre común del certificado (CN) y el Nombre alternativo. Si coinciden, y el certificado está firmado por una entidad de confianza, no se muestra ninguna advertencia. Pero cuando accede por IP, el nombre no coincide con lo que ha ingresado, y se muestra una advertencia.

    
respondido por el vidarlo 27.09.2018 - 18:13
fuente

Lea otras preguntas en las etiquetas