Регистрация Войти
Рейтинг:0
avatar Server

Как SSL-сертификат сопоставляется с IP-адресом сервера, когда он выдается для доменного имени?

флаг in
variable

У меня есть веб-сервер apache, скажем, на общедоступном IP-адресе x.x.x.x.

Я купил доменное имя somename.com

Мой администратор сопоставил IP-адрес с доменным именем.

У меня есть сертификат SSL, выданный для доменного имени, и он установлен на веб-сервере.

Когда пользователь (браузер) вводит веб-адрес, запрос будет отправлен на IP-адрес (веб-сервер, через DNS-сервер). Веб-сервер ответит пользователю (браузеру).

Но сертификат SSL сопоставляется только с доменным именем, а не с IP-адресом. Так как же SSL-сертификат сопоставляется с IP-адресом сервера, когда он выдается для доменного имени?

312
0 + 0
Рейтинг:4
avatar Server
флаг cn
Crypt32

Так как же SSL-сертификат сопоставляется с IP-адресом сервера, когда он выдается для доменного имени?

это не так. Если сертификат выдан на какое-то доменное имя, то IP-адрес веб-сервера, на котором находится ресурс, никому не интересен. Клиент TLS проверяет, соответствует ли запрошенный адрес (например, в адресной строке) имени в сертификате сервера. Никто не заботится об IP-адресе, потому что он используется только для целей транспорта и маршрутизации.

Если бы существовала карта с IP-адресом, вам пришлось бы приобретать новый сертификат каждый раз, когда ваш IP-адрес меняется. Вот почему DNS был изобретен.

0 + 0
флаг in
variable
Так что мне нужно установить SSL на веб-сервере или на уровне DNS?
0
Ответить
флаг cn
Crypt32
На веб-сервере. DNS — это всего лишь функция, которая преобразует имена в IP-адреса.
0
Ответить
флаг in
variable
Таким образом, сертификат только гарантирует, что браузер может проверить имя? Это не предотвращает атаку, при которой, скажем, если DNS взломан и перенаправит пользователя на веб-сервер злоумышленников, то пользователь (браузер) не узнает?
0
Ответить
флаг cn
hardillb
Но атакующий HTTP-сервер не должен иметь возможности получить (действительный) сертификат, соответствующий имени хоста. (Существует также отдельная система под названием DNSSEC, которую можно использовать для проверки сопоставления DNS-имени хоста с IP-адресом)
0
Ответить
флаг cn
Crypt32
`если dns взломан` -- правильно, если dns взломан/отравлен, вас перенаправят куда угодно. Однако браузер не сможет подключиться, потому что мошеннический веб-сайт должен предоставить законный сертификат и иметь закрытый ключ. Другими словами, иметь точный сертификат с закрытым ключом как законный.
0
Ответить
флаг in
variable
Веб-сервер должен обладать закрытым ключом (который использовался для создания сертификата), иначе веб-сервер не сможет расшифровать запрос — понял!
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.