È possibile acquisire un certificato SSL per un indirizzo IP statico non registrato su un nome di dominio e ci sono problemi che potrebbero verificarsi?
È possibile acquisire un certificato SSL per un indirizzo IP statico non registrato su un nome di dominio e ci sono problemi che potrebbero verificarsi?
Il problema principale con un certificato per un indirizzo IP statico è che potrebbe non funzionare affatto. Standard pertinenti ( RFC 2818 , RFC 6125 ) parla solo di nomi DNS , non di indirizzi IP.
Ci sono principalmente due modi in cui un indirizzo IP può essere memorizzato in un Oggetto alt Nome estensione: direttamente sotto il suo normale tipo ASN.1 ( iPAddress , OCTET STRING di lunghezza 4 o 16, a seconda che si parli di IPv4 o IPv6), o come dNSName convertendo l'indirizzo alla sua rappresentazione decimale-punteggiata (come in "1.2.3.4", una sequenza di sette caratteri per codificare un indirizzo IP di 4 byte). Ho sentito, ma non ho verificato, che alcune versioni di Internet Explorer accetterebbero di abbinare il secondo tipo di rappresentazione come se fosse un nome, ma non tutti i browser lo farebbero. È probabile che il formato iPAddress venga completamente ignorato dai client.
La CA commerciale abituale non accetta di codificare gli indirizzi IP nei certificati, in particolare perché non possono garantire che l'indirizzo IP sia tuo e rimarrà tuo, indipendentemente da quanto strongmente tu credi.
Almeno è, apparentemente, possibile ottenere detto certificato per un indirizzo IP a cui ha un dominio registrato: link .
Signature Algorithm: ecdsa-with-SHA256
Issuer: C=US, O=DigiCert Inc, CN=DigiCert ECC Secure Server CA
Subject: C=US, ST=CA, L=San Francisco, O=Cloudflare, Inc., CN=*.cloudflare-dns.com
X509v3 Subject Alternative Name:
DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001
Come puoi vedere, quattro indirizzi IP (due dalla famiglia di indirizzi IPv4 e altri due da quello IPv6) sono codificati nel campo Nome alternativo soggetto come valori del tipo iPAddress ASN.1. Risulta che nel 2018 la maggior parte dei browser è in grado di capirlo.
Non è ancora chiaro quali politiche CA / Browser Forum suggeriscano per un caso del genere. La politica tradizionale implica che vi sia un dominio, non un indirizzo IP, scritto in un certificato. Inoltre, se qualche informazione in un certificato diventa errata o inaccurata dovrebbe essere revocato . Si prevede che una tradizionale autorità di certificazione tenga traccia della proprietà del nome di dominio, tuttavia, la transizione dell'indirizzo IP è un'altra storia: c'è non esiste un" proprietario "di indirizzo IP e le origini dati per l'utilizzo della rete IP non sono le stesse del mondo DNS, quindi è molto più complicato .
Leggi altre domande sui tag tls certificates