it-swarm.com.de

Ist es möglich, ein SSL-Zertifikat für die IP-Adresse zu haben, nicht den Domänennamen?

Ich möchte, dass meine Website URLs wie http://192.0.2.2/... und https://192.0.2.2/... für statische Inhalte verwendet, um unnötige Cookies in der Anforderung zu vermeiden und zusätzliche DNS-Anforderungen zu vermeiden.

Gibt es eine Möglichkeit, ein SSL-Zertifikat für diesen Zweck zu erhalten?

193
Evgenyt

Nach dieser Antwort ist es möglich, wird aber selten verwendet. 

Wie Sie es bekommen: Ich würde einfach versuchen, eines mit einem Anbieter Ihrer Wahl zu bestellen und die IP-Adresse anstelle einer Domäne während des Bestellvorgangs einzugeben.

Das Ausführen einer Site mit einer IP-Adresse, um die DNS-Suche zu vermeiden, klingt für mich jedoch nach unnötiger Mikrooptimierung. Sie sparen am besten ein paar Millisekunden, und zwar pro Besuch, da DNS-Ergebnisse auf mehreren Ebenen zwischengespeichert werden.

Ich glaube nicht, dass Ihre Idee aus Sicht der Optimierung sinnvoll ist. 

121
Pekka 웃

Die kurze Antwort lautet Ja, sofern es sich um eine öffentliche IP-Adresse handelt.

Die Ausgabe von Zertifikaten an reservierte IP-Adressen ist nicht zulässig, und alle Zertifikate, die zuvor an reservierte IP-Adressen ausgegeben wurden, wurden zum 1. Oktober 2016 widerrufen.

Laut dem CA Browser-Forum können Kompatibilitätsprobleme mit Zertifikaten für IP-Adressen auftreten, es sei denn, die IP-Adresse befindet sich in den Feldern commonName und subjectAltName. Dies ist auf ältere SSL-Implementierungen zurückzuführen, die nicht auf RFC 5280 abgestimmt sind, insbesondere Windows-Betriebssystem vor Windows 10.


Quellen:

  1. Anleitung zu IP-Adressen in Zertifikaten CA Browser Forum 
  2. Baseline-Anforderungen 1.4.1 CA Browser Forum
  3. Der (bald zu erwartende) nicht alltägliche Name unmitigatedrisk.com
  4. RFC 5280 IETF

Hinweis: In einer früheren Version dieser Antwort wurde festgelegt, dass alle IP-Adresszertifikate am 1. Oktober 2016 widerrufen werden. Vielen Dank an Navin für den Hinweis auf den Fehler.

47
regdoug

Die Antwort, denke ich, ist ja. Überprüfen Sie diesen Link zum Beispiel. 

Ausstellen eines SSL-Zertifikats an eine öffentliche IP-Adresse

Ein SSL-Zertifikat wird normalerweise für einen vollqualifizierten Domänennamen (FQDN) wie " https://www.domain.com " ausgestellt. Einige Organisationen benötigen jedoch ein SSL-Zertifikat, das an eine öffentliche IP-Adresse ausgestellt wurde. Mit dieser Option können Sie eine öffentliche IP-Adresse als allgemeinen Namen in Ihrer Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) angeben. Das ausgestellte Zertifikat kann dann zum direkten Sichern von Verbindungen mit der öffentlichen IP-Adresse verwendet werden (z. B. https://123.456.78.99 .).

28

Ja. Cloudflare verwendet es für seine Homepage mit DNS-Anweisungen: https://1.1.1.1

13
mehulmpt

Das C/A-Browser-Forum legt fest, was in einem Zertifikat gültig ist und was nicht, und welche Zertifizierungsstellen sollten abgelehnt werden.

Gemäß ihren Baseline-Anforderungen Für die Ausgabe und Verwaltung von Öffentlich vertrauenswürdigen Zertifikaten - Dokument dürfen Zertifizierungsstellen seit 2015 keine Zertifikate ausstellen, in denen die Felder "Common Name" oder "Common Alternate Names" enthalten eine reservierte IP-Adresse oder ein interner Name, wobei reservierte IP-Adressen IP-Adressen sind, die von IANA als reserviert angegeben wurden, einschließlich aller NAT -IPs. Bei internen Namen handelt es sich um Namen, die im öffentlichen DNS nicht aufgelöst werden.

Öffentliche IP-Adressen können verwendet werden (und das Basisanforderungsdokument gibt an, welche Art von Prüfungen eine Zertifizierungsstelle durchführen muss, um sicherzustellen, dass der Antragsteller das IP besitzt).

0
Chris Becke