【问题标题】:Should websites with only global ip addresses be ssl?只有全球 IP 地址的网站应该是 ssl 吗?
【发布时间】:2019-03-08 09:58:27
【问题描述】:

仅使用全球IP地址运行的网站(没有域名)。 这会被搜索引擎索引吗?可以在这个网站上引入 ssl 吗? 由于目前没有设置为https,所以我们担心可能会出现登录信息等泄露的可能性(我不明白这个风险有多大)。

【问题讨论】:

  • 你为什么不用名字? HTTPS 应该与名称一起使用,而不是 IP。虽然您可以从技术上从某些 CA 获得 IP 地址的证书,但这将是 HTTPS 中的阻抗不匹配,因此实际上不是要走的路线。无论您试图保护什么(从您的帖子中被索引、登录信息等,但不清楚),认为没有名字会以某种方式保护您是错误的。
  • 本网站仅供家庭使用。因此,我懒得花钱买域名。我可以在不获取域名的情况下进行加密吗?
  • “我懒得花钱买域名。”您可以在 5 美元到 10 美元的范围内找到域名,有时甚至可以通过促销等方式找到域名;我相信您为虚拟主机支付的费用会更高。

标签: apache ssl web


【解决方案1】:

你可以get an SSL certificate for an IP address;这将实现两件事。

首先,它向访问者确认 IP 地址没有被劫持 - 它属于购买 IP 地址的组织,而不是以某种方式劫持该地址的 evil_hax0r

其次,它对访问者和服务器之间的通信进行加密。

您不应该依赖于在搜索引擎中隐身 - 这种策略被称为security through obscurity,并且广受质疑。有各种各样的机器人在互联网上搜寻易受攻击的机器,即使您不在 Google 中,它们也会找到您。

其次,是的,Google 会可能找到您 - 如果 Internet 上任何地方都有指向您的 IP 地址的链接,Google 会找到它。您可以创建一个robots.txt 来控制接下来会发生什么。

最后,你应该这样做吗? Google thinks so。我是free for many use cases

【讨论】:

  • letsencrypt 不会为 IP 地址提供证书。
  • “不是 evil_hax0r 以某种方式劫持了该地址。”我不明白怎么做。在 BGP 劫持的情况下,首先您的客户端无法知道当它不再获得证书时它需要获得证书(HSTS 用于名称,而不是 IP),其次,即使您强制这样做,劫持者也可以发送其自己的证书,甚至在 BGP 劫持期间从 CA 获得一个。所以 TLS 层的某些东西并不能完全保护您免受 IP 级别的攻击。
  • “其次,它对访问者和服务器之间的通信进行加密。”即使没有证书,您也可以进行加密,包括使用 TLS。证书更多地是对远程进行身份验证的一种手段,这是最重要/主要的需要,对它进行加密(因为否则你可能正在加密东西但将其发送给你不认识/不信任的人)。
【解决方案2】:

这会被搜索引擎索引

如果他们找到您的 ip/端口,是的。

您可以制作自签名证书来加密网络流量。不过,您在访问该网站时会收到警告(证书不受信任)。

应该可以购买受信任的证书,但我不知道有任何经销商。

【讨论】:

  • 您可以为 IP 自行签名证书,但我不知道有任何 CA 会在裸 IP 上颁发证书;它们通常被分配给一个完全合格的域名。
  • "如果他们找到你的 ip/端口,是的。"在 IPv4 中,扫描所有 IP 并不是很复杂,很多人/组织经常这样做。并且 HTTPS 习惯使用端口 443。
  • @CD001 “我不知道有任何 CA 会在裸 IP 上颁发证书”我同意,但 CABForum 要求不专门处理 IP 地址证书的情况。请参阅cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.6.0.pdf 部分“3.2.2.5. IP 地址的身份验证”,该部分以“对于证书中列出的每个 IP 地址,CA 应确认”等开头。因此,对于不是为它设计的 HTTPS,这肯定很少见,但否则存在 IP 地址的证书。例如在 RIR 世界中保护 IP 块。
  • 来自 RFC6125:一些证书颁发机构根据 IP 地址颁发服务器证书,但初步证据表明,此类证书仅占已颁发证书的很小比例(不到 1%)。此外,IP 地址不一定是应用服务的可靠标识符,因为存在私有互联网、主机移动性、给定主机上的多个接口、网络地址转换器导致来自网络上不同位置的主机的不同地址、将许多主机组合在一个 IP 地址后面等。
【解决方案3】:

是的,它将被编入索引。如果你想避免这种情况,有几种选择。事实标准是添加 robots.txt 文件并使用机器人排除标准定义您想要的内容。

是的,您可以在公共 IP 地址上使用 SSL。

使用未加密登录的风险在于浏览器会将登录信息作为纯文本发送。 HTTP代表超文本传输​​协议,所有信息都以明文形式通过互联网发送。这意味着有人可以拦截和读取信息。

添加 SSL 将超文本作为加密消息发送。

【讨论】:

    猜你喜欢
    • 2011-03-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-01-28
    • 1970-01-01
    • 2011-04-09
    • 2018-09-10
    • 2021-11-21
    相关资源
    最近更新 更多