只有全球 IP 地址的网站应该是 ssl 吗?

【问题标题】:Should websites with only global ip addresses be ssl?只有全球 IP 地址的网站应该是 ssl 吗?
【发布时间】:2019-03-08 09:58:27
【问题描述】:

仅使用全球IP地址运行的网站(没有域名)。 这会被搜索引擎索引吗?可以在这个网站上引入 ssl 吗? 由于目前没有设置为https,所以我们担心可能会出现登录信息等泄露的可能性(我不明白这个风险有多大)。

【问题讨论】:

  • 你为什么不用名字? HTTPS 应该与名称一起使用,而不是 IP。虽然您可以从技术上从某些 CA 获得 IP 地址的证书,但这将是 HTTPS 中的阻抗不匹配,因此实际上不是要走的路线。无论您试图保护什么(从您的帖子中被索引、登录信息等,但不清楚),认为没有名字会以某种方式保护您是错误的。
  • 本网站仅供家庭使用。因此,我懒得花钱买域名。我可以在不获取域名的情况下进行加密吗?
  • “我懒得花钱买域名。”您可以在 5 美元到 10 美元的范围内找到域名,有时甚至可以通过促销等方式找到域名;我相信您为虚拟主机支付的费用会更高。

标签: apache ssl web


【解决方案1】:

你可以get an SSL certificate for an IP address;这将实现两件事。

首先,它向访问者确认 IP 地址没有被劫持 - 它属于购买 IP 地址的组织,而不是以某种方式劫持该地址的 evil_hax0r

其次,它对访问者和服务器之间的通信进行加密。

您不应该依赖于在搜索引擎中隐身 - 这种策略被称为security through obscurity,并且广受质疑。有各种各样的机器人在互联网上搜寻易受攻击的机器,即使您不在 Google 中,它们也会找到您。

其次,是的,Google 会可能找到您 - 如果 Internet 上任何地方都有指向您的 IP 地址的链接,Google 会找到它。您可以创建一个robots.txt 来控制接下来会发生什么。

最后,你应该这样做吗? Google thinks so。我是free for many use cases

【讨论】:

  • letsencrypt 不会为 IP 地址提供证书。
  • “不是 evil_hax0r 以某种方式劫持了该地址。”我不明白怎么做。在 BGP 劫持的情况下,首先您的客户端无法知道当它不再获得证书时它需要获得证书(HSTS 用于名称,而不是 IP),其次,即使您强制这样做,劫持者也可以发送其自己的证书,甚至在 BGP 劫持期间从 CA 获得一个。所以 TLS 层的某些东西并不能完全保护您免受 IP 级别的攻击。
  • “其次,它对访问者和服务器之间的通信进行加密。”即使没有证书,您也可以进行加密,包括使用 TLS。证书更多地是对远程进行身份验证的一种手段,这是最重要/主要的需要,对它进行加密(因为否则你可能正在加密东西但将其发送给你不认识/不信任的人)。
【解决方案2】:

这会被搜索引擎索引

如果他们找到您的 ip/端口,是的。

您可以制作自签名证书来加密网络流量。不过,您在访问该网站时会收到警告(证书不受信任)。

应该可以购买受信任的证书,但我不知道有任何经销商。

【讨论】:

  • 您可以为 IP 自行签名证书,但我不知道有任何 CA 会在裸 IP 上颁发证书;它们通常被分配给一个完全合格的域名。
  • "如果他们找到你的 ip/端口,是的。"在 IPv4 中,扫描所有 IP 并不是很复杂,很多人/组织经常这样做。并且 HTTPS 习惯使用端口 443。
  • @CD001 “我不知道有任何 CA 会在裸 IP 上颁发证书”我同意,但 CABForum 要求不专门处理 IP 地址证书的情况。请参阅cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.6.0.pdf 部分“3.2.2.5. IP 地址的身份验证”,该部分以“对于证书中列出的每个 IP 地址,CA 应确认”等开头。因此,对于不是为它设计的 HTTPS,这肯定很少见,但否则存在 IP 地址的证书。例如在 RIR 世界中保护 IP 块。
  • 来自 RFC6125:一些证书颁发机构根据 IP 地址颁发服务器证书,但初步证据表明,此类证书仅占已颁发证书的很小比例(不到 1%)。此外,IP 地址不一定是应用服务的可靠标识符,因为存在私有互联网、主机移动性、给定主机上的多个接口、网络地址转换器导致来自网络上不同位置的主机的不同地址、将许多主机组合在一个 IP 地址后面等。
【解决方案3】:

是的,它将被编入索引。如果你想避免这种情况,有几种选择。事实标准是添加 robots.txt 文件并使用机器人排除标准定义您想要的内容。

是的,您可以在公共 IP 地址上使用 SSL。

使用未加密登录的风险在于浏览器会将登录信息作为纯文本发送。 HTTP代表超文本传输​​协议,所有信息都以明文形式通过互联网发送。这意味着有人可以拦截和读取信息。

添加 SSL 将超文本作为加密消息发送。

【讨论】:

    猜你喜欢
    • 2011-03-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-01-28
    • 1970-01-01
    • 2011-04-09
    • 2018-09-10
    • 2021-11-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode