我想知道为什么如果我尝试使用IP地址而不是域名访问网站,我会收到证书错误.比方说,例如nslookup说google.com是173.194.43.96,所以我试图浏览https://173.194.43.96,我得到了证书错误,指出此网站出具的安全证书是为不同的网站的地址发出.为什么会这样?
jaz*_*mit 12
这是因为为特定域名颁发了SSL证书.如果证书名称与访问的域不匹配,则浏览器将显示错误.
SSL的主要功能之一是向用户证明他们确实连接到他们请求的站点,而不是伪装成终端站点的攻击者.如果不将域名链接到证书,则无法实现.
可以想象,浏览器证书系统可能被设计为在证书中包含IP地址,但这将使得难以使用DNS负载平衡甚至更改主机提供商,因为每次都必须发布新证书这发生过.如果证书仅包含IP地址而不包含域,则这将使用户无法抵御DNS欺骗攻击.所以前进的唯一方法就是单独使用域名.
感兴趣的是,可以获得 IP地址的SSL证书 - 并且由于Google是他们自己的证书颁发机构,他们可以为173.194.43.96颁发证书,从而可以通过IP地址安全地浏览谷歌,只要他们使用SNI提供正确的证书.似乎难以置信的是,这将值得额外的复杂性,但......
如果您想要阅读更多内容,这是对SSL的一个很好的介绍:
https://timnash.co.uk/guessing-ssl-questions/
| 归档时间: |
|
| 查看次数: |
18172 次 |
| 最近记录: |