Я хочу, щоб мій сайт використовував такі URL-адреси, як http://192.0.2.2/...
і https://192.0.2.2/...
для статичного вмісту, щоб уникнути зайвих файлів cookie у запиті І уникати додаткового запиту DNS.
Чи є спосіб отримати SSL cert для цієї мети?
Я хочу, щоб мій сайт використовував такі URL-адреси, як http://192.0.2.2/...
і https://192.0.2.2/...
для статичного вмісту, щоб уникнути зайвих файлів cookie у запиті І уникати додаткового запиту DNS.
Чи є спосіб отримати SSL cert для цієї мети?
Відповіді:
Відповідно до цієї відповіді , це можливо, але рідко використовується.
Щодо того, як його отримати: я б схильний просто спробувати замовити його у постачальника, який ви обрали, і ввести IP-адресу замість домену під час замовлення.
Однак запуск сайту за IP-адресою, щоб уникнути пошуку DNS, виглядає жахливо, як непотрібна мікрооптимізація для мене. Ви заощадите кілька мілісекунд у кращому випадку, і це за візит , оскільки результати DNS кешуються на кількох рівнях.
Я не думаю, що ваша ідея має сенс з точки зору оптимізації.
Коротка відповідь - так, якщо це загальнодоступна IP-адреса.
Видача сертифікатів на зарезервовані IP-адреси не дозволяється, і всі сертифікати, раніше видані на зарезервовані IP-адреси, були відкликані станом на 1 жовтня 2016 року.
За даними форуму браузера CA, можуть виникнути проблеми сумісності із сертифікатами для IP-адрес, якщо IP-адреса не в обох полях commonName
та subjectAltName
. Це пов’язано зі застарілими реалізаціями SSL, які не узгоджуються з RFC 5280, зокрема, ОС Windows до Windows 10.
Джерела:
Примітка: в попередній версії цієї відповіді було зазначено, що 1 серпня 2016 року всі сертифікати IP-адреси будуть відкликані. Дякую Navin за вказівку на помилку.
Я думаю, відповідь - так. Наприклад, перевірте це посилання .
Видача SSL-сертифіката на публічну IP-адресу
Сертифікат SSL зазвичай видається повністю кваліфікованому доменному імені (FQDN), наприклад " https://www.domain.com ". Однак деяким організаціям потрібен сертифікат SSL, виданий на загальнодоступну IP-адресу. Цей параметр дозволяє вказати загальнодоступну IP-адресу як загальну назву у Вашому запиті на підпис сертифіката (CSR). Потім виданий сертифікат може використовуватися для захисту з'єднань безпосередньо із загальнодоступною IP-адресою (наприклад, https://123.456.78.99 .).
Так. Cloudflare використовує його для домашньої сторінки інструкцій DNS: https://1.1.1.1
Common Name
поле є cloudflare-dns.com
і 1.1.1.1
вказане лише під Certificate Subject Alt Name
.
Форум браузера C / A встановлює, що є, а що недійсно в сертифікаті, а те, що ЦО слід відхилити.
Відповідно до їх базових вимог щодо видачі та управління сертифікатами, що публічно довіряються , сертифікати з 2015 року не повинні видавати посвідчення, де загальне ім’я або загальні поля альтернативних імен містять зарезервований IP або внутрішнє ім’я, де зарезервовані IP-адреси - це IP-адреси що IANA вказала як зарезервоване - що включає всі NAT IP - і внутрішні назви - це будь-які імена, які не вирішуються на загальнодоступній DNS.
Можливо використовувати загальнодоступні IP-адреси (і док. Вимог до документа вказує, які види перевірок повинен здійснювати АС, щоб переконатися, що заявник володіє IP-адресою).
Це повністю залежить від Органу сертифікації, який видає сертифікат.
Що стосується Let’s Encrypt CA, вони не будуть видавати сертифікат TLS на загальнодоступну IP-адресу. https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082
Щоб знати ваш авторитетний сертифікат, ви можете виконати наступну команду та шукати запис, позначений нижче.
curl -v -u <username>:<password> "https://IPaddress/.."