Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: mikesznovu 04. 05. 2021, 17:51:31

Název: Certifikát pro IP adresu
Přispěvatel: mikesznovu 04. 05. 2021, 17:51:31
Je možné si vystavit certifikát pro IP adresu ,aby to fungovalo, když návštěvník zadá do browseru https://1.1.250.231/? Má to nějaké problémy na straně autorit (i Lets encrypt) a zařízení nebo samotného návrhu/protokolu? Nebo je nějaký argument, zda je to případně nesmysl a argument proč to nedělat ?

Narativ je, že mám veřejnou IP adresu (routovanou, s očekáváním zákazníka že tam rozjede https server na jakémkoli portu, které je splněno a smlouva platí, tedy veřejnou adresu podle všech definic) a "nechci" zřizovat doménu. Nemyslím ani přes obezličky jako PTR záznam alias "doména zdarma".
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 04. 05. 2021, 17:55:07
Není to možné.
Název: Re:certifikát pro IP adresu
Přispěvatel: PanVP 04. 05. 2021, 18:25:06
Je možné si vystavit certifikát pro IP adresu ,aby to fungovalo, když návštěvník zadá do browseru https://1.1.250.231/

Samozřejmě, že to je možné.

https://www.digitalocean.com/community/questions/ssl-for-ip-address
https://sectigostore.com/page/ssl-certificate-for-ip-address/

Není to možné.

::)
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 04. 05. 2021, 18:42:13
Samozřejmě, že to je možné.

https://www.digitalocean.com/community/questions/ssl-for-ip-address
https://sectigostore.com/page/ssl-certificate-for-ip-address/
Škoda, že jste si ty odkazy nerozklikl před tím, než jste je sem vložil.
Název: Re:certifikát pro IP adresu
Přispěvatel: PanVP 04. 05. 2021, 19:04:57
Škoda, že jste si ty odkazy nerozklikl před tím, než jste je sem vložil.

Škoda, že oni neumějí anglicky ;D

Viděli by, že certifikát na IP vydat lze, první firma ho umí vydat v druhém odkazu jsou zase lépe popsané podmínky.
Včetně všech těch omezení a že jich není málo.

Ale nevadí, přeložím jim to pomocí Google translátoru:

Citace
Může být vystaven certifikát SSL pro IP adresu?
Odpověď je ano. Certifikát SSL lze vydat pro veřejnou adresu IP.

Toto jsou pravidla a požadavky pro získání certifikátu SSL pro IP adresu:

SSL lze vydat pro  veřejnou  IP adresu. 
Vaše organizace musí  vlastnit  tuto konkrétní IP adresu.  Jinými slovy,  adresa IP musí být přiřazena výhradně vaší organizaci (nikoli společnosti poskytující webhosting).
Certifikační autorita musí být schopna ověřit vaše vlastnictví IP při vyhledávání IP WHOIS. Ve vyhledávání IP WHOIS musí být uvedeno jméno vaší organizace, fyzická adresa, telefonní číslo a ID e-mailu   . 
 K zabezpečení adresy IP si musíte zakoupit  certifikát SSL ověřený organizací (OV) .
Požadované dokumenty:  Zkontrolujte zde . 
Oba  OV  domény Single  a  OV  multi-domény  SSL certifikáty lze použít pro adresu IP. 
Do pole Obecný název (CN) nebo Alternativní název subjektu (SAN) můžete napsat adresu IP (pokud jste zvolili vícedoménový SSL).
Všechny verze systému Windows budou podporovat protokol SSL, pokud jako běžný název (CN) uvedete adresu IP. Windows 8.1 a dřívější verze nebudou podporovat certifikát SSL, pokud zadáte adresu IP jako alternativní název subjektu (SAN).
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 04. 05. 2021, 19:13:50
Škoda, že oni neumějí anglicky ;D
Jste troll a nebo toho víte o problematice tak málo, že jste nepochopil, že to v Hamparleho případě nejde?

V prvním odkazu:
Citace
Unfortunately the free LetsEncrypt CA does not support this
Takže tudy cesta nevede.

Citace
Create a self-signed ssl certificate.
To nesplňuje zadání: „aby to fungovalo, když návštěvník zadá do browseru“. Self-signed certifikát by musel návštěvník extra odsouhlasit nebo nainstalovat.

Citace
Purchase an SSL certificate from a provider. For this I’d recommend reaching out to a few providers to find one that will support issuing a certificate for your public IP address.
To vypadá nadějně, některé CA opravdu poskytují certifikáty na veřejné IP adresy. Ale za jakých podmínek?

Podíváme se tedy na druhý odkaz:
Citace
Your organization must own that particular IP address. In other words, the IP address must be exclusively assigned to your organization (not to the web hosting company).
A certificate authority must be able to verify your IP ownership under an IP WHOIS lookup. Your organization’s name, physical address, phone number, and email id must be shown in the  IP WHOIS lookup.
Takže smůla, na IP adresu propůjčeno od ISP vám certifikát nevydají, protože nemají jak ověřit, že vám ta IP adresa patří.

Pro vaši informaci, ostatní CA mají podobné podmínky.

A ještě něco:
Citace
You must buy an Organization Validated (OV) SSL certificate to secure an IP address.
Pořizovat OV certifikát by vyšlo mnohem dráž, než pořídit nějakou doménu a k ní LE certifikát zdarma.
Název: Re:certifikát pro IP adresu
Přispěvatel: PanVP 04. 05. 2021, 19:28:33
některé CA opravdu poskytují certifikáty na veřejné IP adresy. Ale za jakých podmínek?

A já se obával, že to nepochopěj!
Tleskám jim! ;)

Není to možné.

Teď už jsou chytřejší.

Mlčel bych, kdyby napsali správnou odpověď - která já:
"Ano, samozřejmě, že to lze, ale v našich končinách to je velmi obtížné. IP adresa musí být ve vašem vlastnictví - tedy vedená na vás."

Ale to oni né, že to nejde, že to Fááákt nejde.
Když oni mě hrozně rádi pokoušejí tím, že píšou blbosti, věděj?
Tak příště ať blbosti nepíšou, nemluvěj k tomu, o čem málo věděj a já je nebudu zlobit.
Název: Re:certifikát pro IP adresu
Přispěvatel: Petr Krčmář 04. 05. 2021, 19:29:41
Jak píše Filip, technicky tomu nic nebrání, ale autority takový certifikát nejsou moc ochotné podepisovat. Třeba Let's Encrypt to vůbec nedělá.

Ale třeba CloudFlare ho má na https://1.1.1.1 (https://1.1.1.1). Ale to je trochu jiná liga a hlavně oznamuje do internetu celý blok, takže se dá ověřit, že jim patří.
Název: Re:certifikát pro IP adresu
Přispěvatel: PanVP 04. 05. 2021, 19:33:25
takže se dá ověřit, že jim patří

Ano, to je podmínka, která je splnitelná i v ČR.
Některé, dokonce i menší firmy, mají třeba celé C bloky IP adres.
Zařízení takového certifikátu je možné, ostatně sám jsem tom pro někoho (v ČR!) dělal.

A
Jak píše Filip, technicky tomu nic nebrání

Jenže Jirsák, než si nastudoval můj odkaz, začal:
Není to možné.

Což je prostě blbost, lež, nesmysl, nepravda...
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 04. 05. 2021, 19:35:49
Teď už jsou chytřejší.
Ano, už vím, že jste troll.

Mlčel bych, kdyby napsali správnou odpověď - která já:
"Ano, samozřejmě, že to lze, ale v našich končinách to je velmi obtížné. IP adresa musí být ve vašem vlastnictví - tedy vedená na vás."
Ano, to by byla správná odpověď – na jinou otázku. Na otázku, zda lze obecně získat certifikát na veřejnou IP adresu. Jenže tady byla otázka položena jinak – zda lze získat certifikát na veřejnou IP adresu, kterou má někdo propůjčenou od ISP.

Když oni mě hrozně rádi pokoušejí tím, že píšou blbosti, věděj?
Tak příště ať blbosti nepíšou, nemluvěj k tomu, o čem málo věděj a já je nebudu zlobit.
Já jsem blbost nenapsal. Jenom jsem – na rozdíl od vás – odpověděl na otázku, která byla položena.
Název: Re:certifikát pro IP adresu
Přispěvatel: PanVP 04. 05. 2021, 19:41:27

Aha, já zapomněl, že oni nerozuměj počítačům.  ::)

Narativ je, že mám veřejnou IP adresu (routovanou, ... tedy veřejnou adresu podle všech definic

Oni z toho vyčtou, že to je IP adresa zapůjčená poskytovatelem?
Já z toho vidím, že otázka zní, jestli je možné vydat certifikát na veřejnou IP adresu, což vydat lze.
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 04. 05. 2021, 19:50:13
Oni z toho vyčtou, že to je IP adresa zapůjčená poskytovatelem?
Ano.
Název: Re:Certifikát pro IP adresu
Přispěvatel: Petr Krčmář 04. 05. 2021, 19:50:16
Mohli byste se prosím do sebe přestat tak dětinsky navážet? Diskutovat se dá v klidu a s nadhledem. Bez toho povýšeneckého přístupu na obou stranách.
Název: Re:Certifikát pro IP adresu
Přispěvatel: PanVP 04. 05. 2021, 19:54:08

Chápu, v tomhle případě to musím být já, kdo ustoupí.

Název: Re:Certifikát pro IP adresu
Přispěvatel: Petr Krčmář 04. 05. 2021, 19:59:54
Děkuji, to je dobrý přístup, opravdu. Příště se dá klidně napsat: „Filipe, já myslím, že nemáš pravdu, protože…“ a vynechat celý ten zbytečný nájezd.
Název: Re:certifikát pro IP adresu
Přispěvatel: _Jenda 04. 05. 2021, 20:08:30
Ale třeba CloudFlare ho má na https://1.1.1.1 (https://1.1.1.1). Ale to je trochu jiná liga a hlavně oznamuje do internetu celý blok, takže se dá ověřit, že jim patří.

Ale to mi zase přijde jako z trochu nadbytečná podmínka (že tohle požadují). U DV certifikátů taky nikdo neověřuje komu co patří (doména ani IP na kterou ukazuje), jednoduše stáhne přes HTTP stránku, zkontroluje, že je v ní challenge, a vydá certifikát.
Název: Re:Certifikát pro IP adresu
Přispěvatel: Petr Krčmář 04. 05. 2021, 20:23:10
Podle mě je největší rozdíl v tom, že doména je unikátní pro službu, kdežto IP je velmi často sdílená. Bude třeba vymyslet bezpečný způsob, jak prokázat její ovládání. Napadá mě třeba PTR na jméno, na kterém pak vystavím TXT záznam.

Josh před časem připustil, že by to LE mohl časem řešit a nabízet, ale zatím to není priorita.
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 04. 05. 2021, 20:45:05
Ale to mi zase přijde jako z trochu nadbytečná podmínka (že tohle požadují). U DV certifikátů taky nikdo neověřuje komu co patří (doména ani IP na kterou ukazuje), jednoduše stáhne přes HTTP stránku, zkontroluje, že je v ní challenge, a vydá certifikát.
Pořád je to ale certifikát na doménu, kterou si registrujete minimálně na rok. Jasně, může být vydán den před expirací domény, ale i tak jste tu doménu musel mít alespoň rok. IP adresa může klidně patřit každý den někomu jinému a CA nemá, jak to poznat. Pokud bude nějaký způsob, jak prokázat, že IP adresu vlastníte dlouhodobě, bude i jednodušší na ní vydat certifikát.

Na druhou stranu, po certifikátech na IP adresu je malá poptávka. Domény jsou levné, pokud vám na doménovém jménu nezáleží, můžete použít nějakou doménu třetího řádu zdarma, třeba nějakou typu DynDNS.
Název: Re:Certifikát pro IP adresu
Přispěvatel: FKoudelka 04. 05. 2021, 22:17:33
Mohli byste se prosím do sebe přestat tak dětinsky navážet? Diskutovat se dá v klidu a s nadhledem. Bez toho povýšeneckého přístupu na obou stranách.
Diky
Název: Re:certifikát pro IP adresu
Přispěvatel: NaRootuJeNeskutecneDebilniRegistracniFormular 05. 05. 2021, 09:26:45
Není to možné.
Možné to samozřejmě je. Jak to vím? Certifikát na ip adresu od Sectigo totiž na serveru máme.
Pokud nejsi majitel rozsahu, zkus kontaktovat svého ISP a zeptat se, jestli je ochotný ho pro Tebe vyřídit.
Název: Re:certifikát pro IP adresu
Přispěvatel: PanVP 05. 05. 2021, 09:43:04
Možné to samozřejmě je.

 ;D  ;D  ;D 

Přísahám, že to není moje alterego ;D  ;D
Název: Re:certifikát pro IP adresu
Přispěvatel: Ondřej Caletka 05. 05. 2021, 09:55:12
Pořád je to ale certifikát na doménu, kterou si registrujete minimálně na rok. Jasně, může být vydán den před expirací domény, ale i tak jste tu doménu musel mít alespoň rok. IP adresa může klidně patřit každý den někomu jinému a CA nemá, jak to poznat. Pokud bude nějaký způsob, jak prokázat, že IP adresu vlastníte dlouhodobě, bude i jednodušší na ní vydat certifikát.
Myslím si, že ověření pomocí DNS záznamu ve stromu in-addr.arpa, resp. ip6.arpa, kde nemusí být zdaleka jen PTR záznamy, by mělo být pro certifikační autoritu dostatečným důkazem držení příslušné IP adresy. Bylo by to minimálně srovnatelné s úrovní ověření pomocí klasického DNS pro klasické domény. Držení příslušeného jména v reverzním stromu je poměrně jasný důkaz, že k dané IP adrese máte dlouhodobější vztah.
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 05. 05. 2021, 10:05:22
Myslím si, že ověření pomocí DNS záznamu ve stromu in-addr.arpa, resp. ip6.arpa, kde nemusí být zdaleka jen PTR záznamy, by mělo být pro certifikační autoritu dostatečným důkazem držení příslušné IP adresy. Bylo by to minimálně srovnatelné s úrovní ověření pomocí klasického DNS pro klasické domény. Držení příslušeného jména v reverzním stromu je poměrně jasný důkaz, že k dané IP adrese máte dlouhodobější vztah.
Pokud by se to mělo reálně používat, bylo by lepší to opřít o jméno, kam ukazuje PTR záznam. V zónách pro reverzí překlad nemusí být jen PTR záznamy, ale reálně mají ISP na vkládání PTR záznamů buď rovnou formulář v zákaznické administraci, nebo alespoň standardizovnaý proces. Vkládat tam jiný DNS záznam by byla ruční práce náchylná k chybám, ke které bude ISP asi stejně ochotný, jako zařídit pro zákazníka rovnou ten OV certifikát na IP adresu.
Název: Re:certifikát pro IP adresu
Přispěvatel: RDa 05. 05. 2021, 10:10:39
Není to možné.

Budeme pocitat lzi FJ podobne jako lzi pana prezidenta? :-)
Název: Re:certifikát pro IP adresu
Přispěvatel: Filip Jirsák 05. 05. 2021, 10:23:18
Není to možné.

Budeme pocitat lzi FJ podobne jako lzi pana prezidenta? :-)

Můžete. Už se těším, až předložíte certifikát vydaný uznávanou certifikační autoritou vydaný na IP adresu nějakého SOHO připojení, abyste dokázal, že jsem lhal. Já jsem totiž neodpovídal na otázku, zda je možné vystavit certifikát na IP adresu. Odpovídal jsem na celý původní dotaz. Vzhledem k osobě tazatele, který používá zdejší fórum místo Googlu, jsem považoval za ztrátu času rozepisovat se, za jakých jiných okolností by bylo možné certifikát na IP adresu získat. Tazateli by to vůbec nijak nepomohlo.
Název: Re:certifikát pro IP adresu
Přispěvatel: PanVP 05. 05. 2021, 10:50:57
Vzhledem k osobě tazatele, který používá zdejší fórum místo Googlu

Tomu se říká argument ad hominem