Можно ли иметь SSL-сертификат для IP-адреса, а не для доменного имени?

Question

Я хочу, чтобы мой сайт использовал статические URL-адреса, такие как http://192.0.2.2/... и https://192.0.2.2/..., чтобы избежать ненужных файлов cookie в запросе и избежать дополнительного DNS-запроса.

Есть ли способ получить сертификат SSL для этой цели?

Answer 1

Согласно этому ответу , это возможно, но редко используется.

Что касается того, как его получить: я хотел бы просто попытаться заказать его у выбранного вами поставщика и ввести IP-адрес вместо домена во время процесса заказа.

Тем не менее, запуск сайта на IP-адресе, чтобы избежать поиска DNS, кажется мне ужасно ненужной микрооптимизацией. В лучшем случае вы сэкономите несколько миллисекунд, а это за посещение , поскольку результаты DNS кэшируются на нескольких уровнях.

Не думаю, что ваша идея имеет смысл с точки зрения оптимизации.

Answer 2

Короткий ответ - да, если это публичный IP-адрес.

Выдача сертификатов на зарезервированные IP-адреса не допускается, и все сертификаты, ранее выданные на зарезервированные IP-адреса, были отозваны с 1 октября 2016 года.

Согласно форуму CA Browser, могут быть проблемы совместимости с сертификатами для IP-адресов, если только IP-адрес не указан в полях commonName и subjectAltName. Это происходит из-за устаревших реализаций SSL, которые не соответствуют RFC 5280, в частности, ОС Windows до Windows 10.

<ч />

Источники:

1. Руководство по IP-адресам в сертификатах CA Browser Forum
2. Базовые требования 1.4.1 CA Browser Forum
3. Общее имя (скоро будет) unmitigatedrisk.com
4. RFC 5280 IETF

<ч />

_{Примечание. В более ранней версии этого ответа указывалось, что все сертификаты IP-адресов будут аннулированы 1 октября 2016 года. Спасибо Navin за указание на ошибку.}

Answer 3

Ответ, наверное, да. Например, проверьте эту ссылку .

Выдача SSL-сертификата на публичный IP-адрес

SSL-сертификат обычно выдается на полное доменное имя (FQDN), например «* 1009». Однако некоторым организациям требуется SSL-сертификат, выданный общедоступному IP-адресу. Этот параметр позволяет указать общедоступный IP-адрес в качестве общего имени в вашем запросе на подпись сертификата (CSR). Выданный сертификат может затем использоваться для защиты соединений напрямую с публичным IP-адресом (например, https://123.456.78.99.).

Answer 4

Да. Cloudflare использует его для домашней страницы инструкций DNS: https://1.1.1.1

Answer 5

Форум C / A Browser устанавливает, что является и не является действительным в сертификате, и что CA должен отклонить.

Согласно их базовым требованиям для Выдача и управление Публично доверенные сертификаты документ, CA должны с 2015 года не выпускать сертификаты, если поля общего имени или общих альтернативных имен содержат зарезервированный IP или внутреннее имя, где зарезервированные IP-адреса - это IP-адреса, которые IANA перечислила как зарезервированные, - включает в себя все IP-адреса NAT, а внутренние имена - это любые имена, которые не разрешаются в общедоступном DNS.

Публичные IP-адреса МОГУТ использоваться (и документ о базовых требованиях определяет, какие виды проверок должен выполнять ЦС, чтобы убедиться, что заявителю принадлежит IP).