Una advertencia de seguridad al acceder a un sitio a través de IP

6

Cuando voy a https://www.schneier.com/ , todo funciona normalmente. Tan pronto como accedo al mismo sitio utilizando su dirección IP (66.33.204.254), recibo una advertencia de seguridad (incluso si escribo algo como https://66.33.204.254:443/ ).

Lo mismo no es cierto para google.com (estoy usando esta dirección IP: 216.58.211.14)

¿Por qué es eso? ¿En qué se diferencian estos dos sitios?

UPD: Aquí está el GIF de lo que veo al ingresar la IP de Google, no hay advertencia allí: enlace

    
pregunta Pavel Vergeev 11.01.2017 - 19:31
fuente

4 respuestas

15

Es porque generalmente creas un Certificado TLS para un nombre de host, no una IP. Cambiar direcciones IP es trivial, cambiar dominios no es tan común.

Si abre el sitio en Firefox usando IP, verá este mensaje:

66.33.204.254 uses an invalid security certificate. 

The certificate is only valid for the following names:
 schneier.com, www.schneier.com 

La apertura 216.58.211.14 (Google) dará el mismo mensaje.

    
respondido por el ThoriumBR 11.01.2017 - 19:36
fuente
4

El error indica que has llegado a un sitio que no puede demostrar que posee la dirección que ingresaste en la barra de direcciones.

Imagina esto. Usted visita https://www.google.com . Verifica el certificado para la conexión y descubre que en realidad se emitió a www.DeathToAmerica.ru . Esta es una clara indicación de que su navegador no ha llegado a google.com. En cambio, sus comunicaciones han sido interceptadas en lo que se conoce como Ataque del hombre en el medio (MitM) . Sus comunicaciones aún están cifradas, pero se envían (y se descifran) a una entidad desconocida.

Para protegerse contra esto, su navegador verificará automáticamente la dirección que ingresó en el certificado. Cuando no coincidan, mostrará el error que está viendo.

Desde que ingresó 66.33.204.254 pero el certificado fue emitido a www.schneier.com , obtendrá el error. Esto indica que el sitio al que ha llegado no puede probar que posee 66.33.204.254 .

En términos generales, una CA no emitirá un certificado para una dirección IP. Si necesita acceder a un sitio que no está en DNS y debe usar https, y no desea ver ese error, le sugiero que use un Entrada de host .

    
respondido por el John Wu 11.01.2017 - 19:56
fuente
1

El certificado se emite con un nombre común (CN), en su ejemplo schneier.com / * .google.com.

Si accede al sitio web utilizando la dirección IP en lugar del nombre de dominio, este campo CN no coincidirá con la parte de autoridad de su URL y su navegador mostrará un error (como NET :: ERR_CERT_COMMON_NAME_INVALID para Google Chrome).

Si está accediendo a los sitios web que mencionó a través de http, se le redireccionará al https equivalente. Sin embargo, Google lo redireccionará a enlace , mientras que Schneier lo redireccionará a enlace . Lo primero no causará un error, lo último lo hará (debido a las razones mencionadas anteriormente).

Entonces, el efecto que describiste se debe a la configuración de las redirecciones en los dos servidores web.

    
respondido por el Hacktiker 11.01.2017 - 19:42
fuente
0

La mayoría de los principales certificados TLS / SSL aceptados se emiten a nombres de host, que se pueden consultar a través de DNS.

El motivo de esta comprobación es evitar posibles ataques de Man in the Middle, donde un ataque podría tener un certificado perfectamente válido, pero no se envía al sitio web que está intentando visitar. Los certificados se refieren al área de "no repudio".

En el caso de Google, intentan redirigir a los usuarios al nombre de dominio, ya que la dirección IP que aloja el servicio web probablemente maneja las solicitudes de muchos nombres de dominio (consulte el segundo cuadro de código a continuación). Lo mismo sucedería si intentara acceder a un sitio web que utiliza Cloudflare. Debido a que Cloudflare se encuentra frente a muchos sitios web, no sabe a qué servir y devuelve un mensaje de error.

66.33.204.254 uses an invalid security certificate.
The certificate is only valid for the following names:
schneier.com, www.schneier.com
Error code: SSL_ERROR_BAD_CERT_DOMAIN

Google dará el mismo código de error:

216.58.211.14 uses an invalid security certificate.
The certificate is only valid for the following names:
*.google.com, *.android.com, *.appengine.google.com, *.cloud.google.com, *.google-analytics.com, *.google.ca, *.google.cl, *.google.co.in, *.google.co.jp, *.google.co.uk, *.google.com.ar, *.google.com.au, *.google.com.br, *.google.com.co, *.google.com.mx, *.google.com.tr, *.google.com.vn, *.google.de, *.google.es, *.google.fr, *.google.hu, *.google.it, *.google.nl, *.google.pl, *.google.pt, *.googleadapis.com, *.googleapis.cn, *.googlecommerce.com, *.googlevideo.com, *.gstatic.cn, *.gstatic.com, *.gvt1.com, *.gvt2.com, *.metric.gstatic.com, *.urchin.com, *.url.google.com, *.youtube-nocookie.com, *.youtube.com, *.youtubeeducation.com, *.ytimg.com, android.clients.google.com, android.com, developer.android.google.cn, g.co, goo.gl, google-analytics.com, google.com, googlecommerce.com, urchin.com, www.goo.gl, youtu.be, youtube.com, youtubeeducation.com

Error code: SSL_ERROR_BAD_CERT_DOMAIN

Una imagen de lo que sucedería cuando acceda a un sitio "protegido" por cloudflare:

    
respondido por el dark_st3alth 11.01.2017 - 19:59
fuente

Lea otras preguntas en las etiquetas