Alan adı için değil, IP adresi için SSL sertifikasına sahip olmak mümkün müdür?

282

Sitemin istekte gereksiz çerezlerden kaçınmak ve ek DNS isteğinden kaçınmak için statik içerik gibi http://192.0.2.2/...ve URL'leri kullanmasını istiyorum https://192.0.2.2/....

Bu amaçla SSL sertifikası almanın herhangi bir yolu var mı?

https  dns  ip-address  ssl-certificate 
Evgenyt
kaynak
3
Bu soru ilginizi çekebilir: IP adresinin Konu DN'nin CN'sinde değil, IP adresi türünün SAN girişinde olması gerekir.
Bruno
14
LetsEncrypt bunu yapmaz. "" "" xxxx bir IP adresidir. Let's Encrypt sertifika yetkilisi çıplak bir IP adresi için sertifika vermeyecek. "" "
kommradHomer
1
C / A Tarayıcı Forumu, bir dizi yayınlama ilkesi sağlar. Açıkçası, bunu tarayıcılar takip ediyor. CA / B artık IP adreslerine izin vermiyor. Başka bir ihraç politikası da IETF tarafından sürdürülmektedir. IETF'in PKI'sına PKIX adı verilir. PKIX, IP adreslerine izin verir. PKIX'i cURL ve Wget gibi çoğu [ücretsiz?] Yazılım takip eder. 1.1.1.1 sertifikasını tam olarak anlayamıyorum . CA / B politikalarına göre yasaklanmalıdır. Belki CA / B politikalarını değiştirdi.
jww

Yanıtlar:

170

Bu cevaba göre , mümkündür, ancak nadiren kullanılır.

Nasıl elde edeceğinize gelince: İstediğiniz sağlayıcıyla bir tane sipariş etmeye ve sipariş verme işlemi sırasında bir alan yerine IP adresini girmeye çalışırım.

Ancak, DNS aramasını önlemek için bir IP adresinde bir site çalıştırmak bana gereksiz mikro optimizasyon gibi çok kötü geliyor. DNS sonuçları birden çok düzeyde önbelleğe alındığından , en iyi şekilde birkaç milisaniyede tasarruf edersiniz ve bu ziyaret başınadır .

Fikrinizin optimizasyon açısından anlamlı olduğunu düşünmüyorum.

Pekka
kaynak
9
AFAIK, IE için dakikada 1 kez (Firefox DNS önbelleği) ve 30 dakikada 1 kez. Bu, DNS kayıtlarının TTL'sinden farklıdır. Ayrıca, etki alanına ve NS sunucularının ne kadar hızlı olduğuna (ilk önce de çözülecek :) bağlı olarak benim için yaklaşık 20 ms sürüyor Ayrıca her statik istek için uzun çerezlerimden (auth + Google Analytics çerezlerim) kaçınmak istiyorum. Bu nedenle, ayrı alan adı satın almak yerine IP kullanmak iyidir. BTW, stackoverflow, basecamphq statik içerik için ayrı bir etki alanı kullanır. Bunun yerine IP kullanılması, gereksiz DNS isteklerini de kaldıracaktır.
Evgenyt
12
Kesinlikle çerezler ile görüşünü görüyorum, tamamen haklısın. Ancak, DNS arama birkaç ms kaydetmek için bir SSL IP geçmek için bana değer daha fazla güçlük. Ayrıca, sağlayıcınızı değiştirmek zorunda kalırsanız IP'nizi yanınızda almakta sorun yaşayabilirsiniz - muhtemelen mümkün değildir. Bir alan adını taşımak çok daha kolaydır ve bir sertifikayı onunla kolayca yarıya taşımak mümkün olmalıdır.
Pekka
2
Google'ın Sayfa Hızı aracı her zaman "Ana belgeyle (xxxx.com) aynı ana bilgisayardan aşağıdaki JavaScript kaynaklarını sunun veya mümkünse bu kaynakların yüklenmesini erteleyin" önerir. Sayfa Hızı aracını İncil olarak derecelendirmiyorum, ancak yine de DNS optimizasyonu benim tarafımdan icat edilmedi. Sadece Sayfa Hızı kontrol listemi mümkün olduğunca yeşil yapmaya çalışıyorum.
Evgenyt
11
@Evgenyt: Bunun belirtildiği gibi bir performans sorunu olamayacak kadar çok düzeyde önbelleğe alınan DNS aramasından dolayı olduğunu sanmıyorum. Daha büyük olasılıkla tarayıcıların isteklerini pipeline etmelerini sağlamaktır. Ana makine bağlantısını açık tutmak, böylece ek bağlantıların kurulmasını önlemek.
vdstw
5
Cevaba katılıyorum. Ayrıca, bu yapılandırmada bir sorun bulduk. Görünüşe göre, Android işletim sistemindeki Chrome tarayıcı (39.0.2171.93) (4.4,5.0; 4.0,4'te çalışıyor), IP adresi sertifika hedefi olarak kullanılıyorsa HTTPS aracılığıyla ses dosyalarını oynatmaz. Bu tür yapılandırmayı test ortamımız için kullanıyorduk, ancak alan adlarını kullanmaya başlayacağız.
ENargit
58

Kısa bir cevap, genel bir IP adresi olduğu sürece evettir.

Ayrılmış IP adreslerine sertifika verilmesine izin verilmez ve önceden ayrılmış IP adreslerine daha önce verilen tüm sertifikalar 1 Ekim 2016 tarihinden itibaren iptal edilmiştir.

CA Tarayıcı forumuna göre, IP adresi hem commonNameve subjectAltNamealanlarında olmadığı sürece IP adreslerinin sertifikalarıyla ilgili uyumluluk sorunları olabilir . Bunun nedeni, özellikle Windows 10'dan önceki Windows işletim sistemi olmak üzere RFC 5280 ile hizalanmayan eski SSL uygulamalarıdır.

Kaynaklar:

  1. Sertifikalardaki IP Adresleri Hakkında Yönergeler CA Tarayıcı Forumu
  2. Temel Gereksinimler 1.4.1 CA Tarayıcı Forumu
  3. Çok Yakında Ortak Adı unmitigatedrisk.com
  4. RFC 5280 IETF

Not: Bu yanıtın önceki bir sürümü, tüm IP adresi sertifikalarının 1 Ekim 2016'da iptal edileceğini belirtti. Navin'e hatayı işaret ettiği için teşekkür ederiz.

regdoug
kaynak
5
Doğru değil, globalsign hala IP'ler için sertifikalar veriyor. Sertifika Yetkilisi / Tarayıcı Forumu, özel IP'leri sertifikalarda görmekten hoşlanmaz, ancak genel IP'lere karşı hiçbir şeyi yoktur.
Navin
1
Bilgilerim güncel olmayabilir. Daha ayrıntılı olarak inceleyeceğim ve sonra doğruysanız düzenleyeceğim.
23'te regdoug
Doğru değil, bakmak 1.1.1.1 Onlar DigiCert 2.021 kadar 2019 ve geçerli de ip için bir SSL sertifika almak
bronz adam
@bronzeman bu herkese açık bir IP adresidir, evet bunun için bir sertifika alabilirsiniz. Sertifika verilemeyen adresler en.wikipedia.org/wiki/Reserved_IP_addresses
regdoug
@DustWolf, RFC 5280, "SubjectAltName uzantısı bir iPAddress içerdiğinde, adres [RFC791] 'de belirtildiği gibi sekizgen dizesinde" ağ bayt sırası "nda saklanmalıdır ZORUNLU ... IP sürümü 4 ..., sekizli dize tam olarak dört sekizli içermelidir ZORUNLU. " Kısacası, topicAltName alanında bir alt ağ kullanamazsınız
regdoug
31

Sanırım cevap evet. Örneğin bu bağlantıyı kontrol edin .

Genel IP Adresine SSL Sertifikası Verme

SSL sertifikası genellikle " https://www.etkialanı.com " gibi Tam Nitelikli Alan Adı'na (FQDN) verilir . Ancak, bazı kuruluşların genel IP adresine verilen bir SSL sertifikasına ihtiyacı vardır. Bu seçenek, Sertifika İmzalama İsteğinizde (CSR) Genel Ad olarak ortak bir IP adresi belirtmenize olanak tanır. Verilen sertifika daha sonra doğrudan genel IP adresiyle (örneğin, https://123.456.78.99 .) Bağlantıların güvenliğini sağlamak için kullanılabilir .

Klaus Byskov Pedersen
kaynak
5
Statik özel IP ile de çalışıyor mu? LAN ister misiniz?
Bay Bonjour
@Klaus Byskov Pedersen Bana bunun nasıl yapılacağı konusunda bir kaynak verebilir misiniz?
reyhane
2
@ShivSingh Herhangi bir kaynak var mı? Bilinen herhangi bir CA'nın özel IP adresine sertifika vereceğini düşünmüyorum.
Franklin Yu
3

C / A Tarayıcı forumu bir sertifikada neyin geçerli ve neyin geçerli olmadığını ve CA'ların neyi reddetmesi gerektiğini belirler.

Kamu-Güvenilir Sertifikaların Verilmesi ve Yönetimi için Temel Gerekliliklerine göre belgesine göre, CA'lar 2015'ten beri ortak adın veya ortak alternatif ad alanlarının ayrılmış IP adreslerinin IP olduğu dahili bir IP veya dahili ad içerdiği sertifikalar vermemelidir. IANA'nın ayrılmış olarak listelediği - tüm NAT IP'lerini içeren - ve dahili adlar genel DNS'de çözülmeyen adlardır.

Genel IP adresleri KULLANILABİLİR (ve temel gereksinimler belgesi, bir CA'nın başvuru sahibinin IP'ye sahip olmasını sağlamak için ne tür kontroller yapması gerektiğini belirtir).

Chris Becke
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.