Je možné HTTPS bez DNS?

[Filip Jirsák]

Jako člověk, který tímhle prošel, můžu říct, že je to nakonec celkem snadné, pokud ta IP adresa nemá být IPv6
Třeba validace u SSL.com probíhá jednoduše vystavením validačního souboru na HTTP serveru hostovaném na dané IP adrese. Jenom to bohužel leze do peněz. Snad Let's Encrypt brzy implementuje RFC 8738 (které lidé z LE napsali) a začne podporovat i validaci IP adres - žádná technická ani administrativní překážka v tom zřejmě není.

Díky za informaci. Nicméně mne to moc netěší, protože to znamená, že když bude nějaký cloudový provider můj web třeba jen 15 minut hostovat na nějaké IP adrese, dokážu na tu IP adresu získat certifikát, i když s ní nemám vůbec nic společného. Asi se spoléhá na to, že uživatelé certifikátům s IP adresami stejně nebudou důvěřovat. Nicméně certifikáty se nepoužívají jenom pro uživatele, používají je i systémy. Takže představa, že máme důvěryhodné certifikáty typu „někdo šel náhodou kolem IP adresy, tak jsme mu vystavili certifikát“, se mi vůbec nelíbí. Navíc vystavení takových certifikátů nejde předpokládám omezit ani CAA DNS záznamem, takže zbývá jen hlídat si CT list…

[Reklama]

[Marek Staněk]

Než člověk napíše odpověď, tak ho to odhlásí a odpověď je ztracená...

Mňo, dal jsem si s tím dost práce, popsal řešení a přidal odkazy...asi lepší je dávat jen štěky a hejty, ty jsou krátké a dají se napsat rychle znovu. Třeba jako "Tohle je nějaká ptákovina ne?"

Když to víš, tak to přece můžeš psát vedle v texťáku a pak to jen vlepit.

[petersveter]

Ja nadviazem na tuto temu. Riesim CDN a nody si mozu medzi sebou tahat subory takze sa nemusia individualne dopytovat na origin ak subor nemaju lokalne. Autentifikacia je riesena JWT ale nody su de facto ako jedna adresa pod anycat dns/geo dns. Takze oni sa dopytuju na konkretne IP adresy, nie na FQDN. A tu mam zase rovnaky problem ze CDN node sice ma SSL certifikat pre danu domenu lenze ked ho iny node vola cez IP a nie cez domenu(co je logicke kedze by volal sam seba), tak zase je tu ten isty problem ako v pociatocnej otazke a teda ze mam IP vs Domena. Kedze ide o programove volanie, asi by slo nejak ten certifikat akceptovat? Kedze vlastne volajuci CDN node ma ten isty certifikat lokalne, takze vie overit ze je totozny a spojenie je nie len zabezpecene ale naozaj pochadza od doveryhodneho zdroju.

[Ondřej Caletka]

Ja nadviazem na tuto temu. Riesim CDN a nody si mozu medzi sebou tahat subory takze sa nemusia individualne dopytovat na origin ak subor nemaju lokalne. Autentifikacia je riesena JWT ale nody su de facto ako jedna adresa pod anycat dns/geo dns. Takze oni sa dopytuju na konkretne IP adresy, nie na FQDN. A tu mam zase rovnaky problem ze CDN node sice ma SSL certifikat pre danu domenu lenze ked ho iny node vola cez IP a nie cez domenu(co je logicke kedze by volal sam seba), tak zase je tu ten isty problem ako v pociatocnej otazke a teda ze mam IP vs Domena. Kedze ide o programove volanie, asi by slo nejak ten certifikat akceptovat? Kedze vlastne volajuci CDN node ma ten isty certifikat lokalne, takze vie overit ze je totozny a spojenie je nie len zabezpecene ale naozaj pochadza od doveryhodneho zdroju.

Pokud to programujete, můžete si určitě nastavit vlastní podmínky validace, nezávislé na tom, na kterou IP adresu se připojujete. Curlem například pomocí voleb --connect-to nebo --resolve.

[jjrsk]

...

Sak i kazdymu browseru muzes rict, ze ten certifikat je OK. Kdyz to mas v podobe appky, tak v nejjednodussim pripade muzes do parametru connection rict, ze certifikat ma proste akceptovat, a zadna kontrola niceho se delat nebude.

[Reklama]

[petersveter]

OK, problem vyriseny. Trebalo vlastne len zabezpecit aby klient nerobil dns resolve ale pouzil IP ktoru ja chcem, inak zvysok funguje normalne.