Защита IP-сервера publi c, с которым не связано имя домена

Question

У меня есть внутренний сервер с постоянным IP-адресом c. Исходя из моих выводов, похоже, что у меня не может быть CA-сертификата для моего publi c IP, мне нужно создать для него доменное имя, а затем добавить запись A. Например, https://server.my-domain.com Но я хочу знать, возможно ли иметь какой-либо сертификат (самоподписанный или сертификат CA), имеющий что-то вроде https://my-public-ip, и не быть помеченным как потенциальная угроза для клиентов или браузеров http?

Кроме того, если мое понимание верно, сертификат CA необходим для доказательства того, что Домен является подлинным c, и никто не выдает себя за него. Помимо этой цели самоподписанный сертификат также должен быть достаточно хорош только для целей шифрования? Если это так, то почему я не могу просто иметь самозаверяющий сертификат (без пометки) для моего publi c IP, поскольку я уже знаю, с какой системой я общаюсь?

Answer 1

Пока кто-то не исправит меня, я думаю, что нашел свое решение. Проблема использования самозаверяющих сертификатов с голыми IP-адресами снова похожа на ту, что мы видим с доменными именами. MITM может олицетворять IP-адрес так же, как и олицетворение домена. Поэтому очень важно либо использовать сертификаты CA, либо убедиться, что клиент уже знает, каким самоподписанным сертификатам ему нужно доверять.

Итак, проблема самозаверяющих сертификатов с голым IP решена. По сути, это так же уязвимо, как использование самозаверяющих сертификатов с любым другим доменным именем.

В моем случае у меня должен быть сертификат CA, поскольку я не могу контролировать сеть, из которой мои клиенты будут пытаться подключиться к моему серверу.