Certifikát pro IP adresu

_Jenda

  • *****
  • 1 600
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:certifikát pro IP adresu
« Odpověď #15 kdy: 04. 05. 2021, 20:08:30 »
Ale třeba CloudFlare ho má na https://1.1.1.1. Ale to je trochu jiná liga a hlavně oznamuje do internetu celý blok, takže se dá ověřit, že jim patří.

Ale to mi zase přijde jako z trochu nadbytečná podmínka (že tohle požadují). U DV certifikátů taky nikdo neověřuje komu co patří (doména ani IP na kterou ukazuje), jednoduše stáhne přes HTTP stránku, zkontroluje, že je v ní challenge, a vydá certifikát.


Re:Certifikát pro IP adresu
« Odpověď #16 kdy: 04. 05. 2021, 20:23:10 »
Podle mě je největší rozdíl v tom, že doména je unikátní pro službu, kdežto IP je velmi často sdílená. Bude třeba vymyslet bezpečný způsob, jak prokázat její ovládání. Napadá mě třeba PTR na jméno, na kterém pak vystavím TXT záznam.

Josh před časem připustil, že by to LE mohl časem řešit a nabízet, ale zatím to není priorita.

Re:certifikát pro IP adresu
« Odpověď #17 kdy: 04. 05. 2021, 20:45:05 »
Ale to mi zase přijde jako z trochu nadbytečná podmínka (že tohle požadují). U DV certifikátů taky nikdo neověřuje komu co patří (doména ani IP na kterou ukazuje), jednoduše stáhne přes HTTP stránku, zkontroluje, že je v ní challenge, a vydá certifikát.
Pořád je to ale certifikát na doménu, kterou si registrujete minimálně na rok. Jasně, může být vydán den před expirací domény, ale i tak jste tu doménu musel mít alespoň rok. IP adresa může klidně patřit každý den někomu jinému a CA nemá, jak to poznat. Pokud bude nějaký způsob, jak prokázat, že IP adresu vlastníte dlouhodobě, bude i jednodušší na ní vydat certifikát.

Na druhou stranu, po certifikátech na IP adresu je malá poptávka. Domény jsou levné, pokud vám na doménovém jménu nezáleží, můžete použít nějakou doménu třetího řádu zdarma, třeba nějakou typu DynDNS.

FKoudelka

Re:Certifikát pro IP adresu
« Odpověď #18 kdy: 04. 05. 2021, 22:17:33 »
Mohli byste se prosím do sebe přestat tak dětinsky navážet? Diskutovat se dá v klidu a s nadhledem. Bez toho povýšeneckého přístupu na obou stranách.
Diky

Re:certifikát pro IP adresu
« Odpověď #19 kdy: 05. 05. 2021, 09:26:45 »
Není to možné.
Možné to samozřejmě je. Jak to vím? Certifikát na ip adresu od Sectigo totiž na serveru máme.
Pokud nejsi majitel rozsahu, zkus kontaktovat svého ISP a zeptat se, jestli je ochotný ho pro Tebe vyřídit.


PanVP

Re:certifikát pro IP adresu
« Odpověď #20 kdy: 05. 05. 2021, 09:43:04 »
Možné to samozřejmě je.

 ;D  ;D  ;D 

Přísahám, že to není moje alterego ;D  ;D

Re:certifikát pro IP adresu
« Odpověď #21 kdy: 05. 05. 2021, 09:55:12 »
Pořád je to ale certifikát na doménu, kterou si registrujete minimálně na rok. Jasně, může být vydán den před expirací domény, ale i tak jste tu doménu musel mít alespoň rok. IP adresa může klidně patřit každý den někomu jinému a CA nemá, jak to poznat. Pokud bude nějaký způsob, jak prokázat, že IP adresu vlastníte dlouhodobě, bude i jednodušší na ní vydat certifikát.
Myslím si, že ověření pomocí DNS záznamu ve stromu in-addr.arpa, resp. ip6.arpa, kde nemusí být zdaleka jen PTR záznamy, by mělo být pro certifikační autoritu dostatečným důkazem držení příslušné IP adresy. Bylo by to minimálně srovnatelné s úrovní ověření pomocí klasického DNS pro klasické domény. Držení příslušeného jména v reverzním stromu je poměrně jasný důkaz, že k dané IP adrese máte dlouhodobější vztah.

Re:certifikát pro IP adresu
« Odpověď #22 kdy: 05. 05. 2021, 10:05:22 »
Myslím si, že ověření pomocí DNS záznamu ve stromu in-addr.arpa, resp. ip6.arpa, kde nemusí být zdaleka jen PTR záznamy, by mělo být pro certifikační autoritu dostatečným důkazem držení příslušné IP adresy. Bylo by to minimálně srovnatelné s úrovní ověření pomocí klasického DNS pro klasické domény. Držení příslušeného jména v reverzním stromu je poměrně jasný důkaz, že k dané IP adrese máte dlouhodobější vztah.
Pokud by se to mělo reálně používat, bylo by lepší to opřít o jméno, kam ukazuje PTR záznam. V zónách pro reverzí překlad nemusí být jen PTR záznamy, ale reálně mají ISP na vkládání PTR záznamů buď rovnou formulář v zákaznické administraci, nebo alespoň standardizovnaý proces. Vkládat tam jiný DNS záznam by byla ruční práce náchylná k chybám, ke které bude ISP asi stejně ochotný, jako zařídit pro zákazníka rovnou ten OV certifikát na IP adresu.

RDa

  • *****
  • 2 659
    • Zobrazit profil
    • E-mail
Re:certifikát pro IP adresu
« Odpověď #23 kdy: 05. 05. 2021, 10:10:39 »
Není to možné.

Budeme pocitat lzi FJ podobne jako lzi pana prezidenta? :-)

Re:certifikát pro IP adresu
« Odpověď #24 kdy: 05. 05. 2021, 10:23:18 »
Není to možné.

Budeme pocitat lzi FJ podobne jako lzi pana prezidenta? :-)

Můžete. Už se těším, až předložíte certifikát vydaný uznávanou certifikační autoritou vydaný na IP adresu nějakého SOHO připojení, abyste dokázal, že jsem lhal. Já jsem totiž neodpovídal na otázku, zda je možné vystavit certifikát na IP adresu. Odpovídal jsem na celý původní dotaz. Vzhledem k osobě tazatele, který používá zdejší fórum místo Googlu, jsem považoval za ztrátu času rozepisovat se, za jakých jiných okolností by bylo možné certifikát na IP adresu získat. Tazateli by to vůbec nijak nepomohlo.

PanVP

Re:certifikát pro IP adresu
« Odpověď #25 kdy: 05. 05. 2021, 10:50:57 »
Vzhledem k osobě tazatele, který používá zdejší fórum místo Googlu

Tomu se říká argument ad hominem