it-swarm.asia

Apakah mungkin untuk memiliki sertifikat SSL untuk alamat IP, bukan nama domain?

Saya ingin situs saya menggunakan URL seperti http://192.0.2.2/... dan https://192.0.2.2/... untuk konten statis untuk menghindari permintaan cookie yang tidak perlu DAN menghindari permintaan DNS tambahan.

Apakah ada cara untuk mendapatkan sertifikat SSL untuk tujuan ini?

193
Evgenyt

Menurut jawaban ini , itu mungkin, tetapi jarang digunakan. 

Adapun cara mendapatkannya: Saya cenderung hanya mencoba dan memesan satu dengan penyedia pilihan Anda, dan masukkan alamat IP alih-alih domain selama proses pemesanan.

Namun, menjalankan situs pada alamat IP untuk menghindari pencarian DNS kedengarannya seperti optimasi mikro yang tidak perlu bagi saya. Anda akan menghemat beberapa milidetik terbaik, dan itu adalah per kunjungan, karena hasil DNS di-cache di beberapa level.

Saya pikir ide Anda tidak masuk akal dari sudut pandang optimasi. 

121
Pekka 웃

Jawaban singkatnya adalah ya, asalkan itu adalah alamat IP publik.

Penerbitan sertifikat ke alamat IP yang dilindungi tidak diizinkan, dan semua sertifikat yang sebelumnya dikeluarkan untuk alamat IP yang dicadangkan telah dicabut pada 1 Oktober 2016.

Menurut forum CA Browser, mungkin ada masalah kompatibilitas dengan sertifikat untuk alamat IP kecuali alamat IP berada di bidang commonName dan subjectAltName. Ini karena implementasi SSL lama yang tidak selaras dengan RFC 5280, terutama, OS Windows sebelum Windows 10.


Sumber:

  1. Panduan Alamat IP Dalam Sertifikat CA Browser Forum 
  2. Persyaratan Dasar 1.4.1 CA Browser Forum
  3. The (segera menjadi) Nama Umum tidak-begitu unmitigatedrisk.com
  4. RFC 5280 IETF

Catatan: versi sebelumnya dari jawaban ini menyatakan bahwa semua sertifikat alamat IP akan dicabut pada 1 Oktober 2016. Terima kasih kepada Navin karena menunjukkan kesalahannya.

47
regdoug

Jawabannya saya kira, adalah ya. Periksa tautan ini misalnya. 

Menerbitkan Sertifikat SSL ke Alamat IP Publik

Sertifikat SSL biasanya dikeluarkan untuk Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) seperti " https://www.domain.com ". Namun, beberapa organisasi memerlukan sertifikat SSL yang dikeluarkan untuk alamat IP publik. Opsi ini memungkinkan Anda untuk menentukan alamat IP publik sebagai Nama Umum dalam Permintaan Penandatanganan Sertifikat (CSR) Anda. Sertifikat yang dikeluarkan kemudian dapat digunakan untuk mengamankan koneksi langsung dengan alamat IP publik (mis., https://123.456.78.99 .).

28

Ya. Cloudflare menggunakannya untuk beranda instruksi DNS-nya: https://1.1.1.1

13
mehulmpt

Forum C/A Browser menetapkan apa yang valid dan tidak valid dalam sertifikat, dan apa yang harus ditolak CA.

Menurut Persyaratan Dasar Untuk Penerbitan dan Manajemen Sertifikat yang Dipercayai Publik dokumen, CA harus, sejak 2015, tidak menerbitkan sertifikat di mana nama umum, atau bidang nama alternatif umum mengandung IP yang dicadangkan atau nama internal, di mana alamat IP yang dicadangkan adalah IP yang IANA telah daftarkan sebagai dicadangkan - yang mencakup semua IP NAT - dan nama internal adalah nama apa pun yang tidak diselesaikan pada DNS publik.

Alamat IP publik BISA digunakan (dan dokumen persyaratan dasar menetapkan jenis pemeriksaan yang harus dilakukan CA untuk memastikan pemohon memiliki IP).

0
Chris Becke