V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hhgfy
V2EX  ›  问与答

不懂就问,通过 https://ip 这样的方式访问,预期的行为应该是什么?

  •  1
     
  •   hhgfy · 2020-08-27 10:57:29 +08:00 · 3357 次点击
    这是一个创建于 1536 天前的主题,其中的信息可能已经有所发展或是发生改变。

    是这样的,项目中用了 kong 作为代理,被安全扫描出漏洞,说是用了自签证书( kong 默认的 localhost )。

    那么这种通过 ip 访问的场景,应该返回什么证书呢?

    19 条回复    2020-08-27 14:56:46 +08:00
    flowfire
        1
    flowfire  
       2020-08-27 10:59:11 +08:00
    预期行为是返回被受信任的根证书签发机构签发的证书。
    不过一般来说让受信任的根证书签发机构签发 ip 证书比让他签发域名证书难很多就是了。
    具体参考 https://1.1.1.1
    hhgfy
        2
    hhgfy  
    OP
       2020-08-27 11:00:56 +08:00
    @flowfire 也就是说 host 和证书对不上也不用管吗?
    flowfire
        3
    flowfire  
       2020-08-27 11:01:40 +08:00
    @hhgfy #2 人家的 host 就是 ip 啊。。。。
    hhgfy
        4
    hhgfy  
    OP
       2020-08-27 11:07:09 +08:00
    @flowfire 就是说没 ip 证书的话应该是什么样的,我看了一些网站,还是返回了原本的域名证书
    virusdefender
        5
    virusdefender  
       2020-08-27 11:11:38 +08:00
    自签名证书不一定是漏洞吧
    hhgfy
        6
    hhgfy  
    OP
       2020-08-27 11:14:26 +08:00
    @virusdefender 虽然完全没用上,但安全那边就是标了个警告。。。
    flowfire
        7
    flowfire  
       2020-08-27 11:15:38 +08:00
    我觉得要不你直接给个链接看看
    hhgfy
        8
    hhgfy  
    OP
       2020-08-27 11:22:35 +08:00
    @flowfire https://121.201.64.193/ 就像这样
    flowfire
        9
    flowfire  
       2020-08-27 11:31:30 +08:00
    @hhgfy #8 你这个就是因为证书不被信任啊。
    简单地方法就是买个域名,把域名解析上去,然后去 let's encrypt 申请个免费的证书。然后用域名访问。
    如果你一定要用 https + ip 访问的话,我也不知道哪家证书卖这种的。
    反正 纯 ip + https 是可行的,参考这个 https://106.54.251.56/
    lanternxx
        10
    lanternxx  
       2020-08-27 11:33:47 +08:00
    需要 IP 证书可以联系我 129 一年
    takemeaway
        11
    takemeaway  
       2020-08-27 11:35:20 +08:00
    @hhgfy 买 IP 证书即可
    xJogger
        12
    xJogger  
       2020-08-27 11:36:45 +08:00 via Android
    给 IP 签证书需要证明自己拥有这个 IP,拥有 IP 的前提是需要有自己的 ASN 号码,一般买服务器带的那个 IP 都是只有使用权的,所以没法签证书。
    我也只是大概知道,说的可能不准确。
    lanternxx
        13
    lanternxx  
       2020-08-27 11:37:02 +08:00   ❤️ 1
    效果参考:
    https://112.124.31.113/
    lanternxx
        14
    lanternxx  
       2020-08-27 11:37:24 +08:00   ❤️ 1
    @xJogger #12 不需要的 文件验证就可以 我这边只要 129 一年
    Showfom
        15
    Showfom  
       2020-08-27 11:40:46 +08:00 via iPhone   ❤️ 1
    @xJogger 老早就不需要 ov 了 现在 dv 就可以申请 ip 证书 只要 http 验证证明你能用这个 ip 即可

    另外 common name 必须要带一个域名,

    参考我自己申请的

    https://45.9.9.9/
    lanternxx
        16
    lanternxx  
       2020-08-27 11:41:33 +08:00   ❤️ 1
    @Showfom #15 我这边 common name 可以不带域名(
    参考我上面发的
    Showfom
        17
    Showfom  
       2020-08-27 13:10:03 +08:00 via iPhone
    @lanternxx 还真的 牛逼啊 Comodo 都可以这么搞了啧啧
    whywhywhy
        18
    whywhywhy  
       2020-08-27 13:40:12 +08:00
    一直想问个问题,JS 能获取当前连接 SSL 证书是可信状态还是不可信状态吗?
    pinews
        19
    pinews  
       2020-08-27 14:56:46 +08:00   ❤️ 1
    1 、跳转到域名
    2 、禁止访问
    3 、不支持的访问方式
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2631 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:34 · PVG 13:34 · LAX 21:34 · JFK 00:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.