Сертифікат SSL для публічної IP-адреси?

Я щойно спробував придбати SSL Comodo Positive, але його було відхилено через те, що він не підтримує публічну IP-адресу, а натомість підтримує лише доменне ім’я.

Хтось знає будь-якого постачальника сертифікатів SSL, який підтримує загальнодоступну IP-адресу замість доменного імені?

Моя компанія має спеціалізований сервер, розміщений з веб-хостинговою компанією, який використовується для запуску помилок для декількох проектів (для декількох клієнтів). Оскільки він використовується лише для виправлення помилок, нам доменне ім’я не потрібно (наші клієнти отримують доступ до нього, ввівши публічний IP-адресу у своєму браузері).

Я думаю, що ти можеш це зробити, але не так, як ти намагаєшся це зробити.

Сертифікат SSL - це твердження, що прив'язує відкритий ключ шифрування до структури X.500, яка включає елемент CN або загальне ім'я; підписаний сертифікат - це такий, коли прив'язка може бути сертифікована стороннім сертифікаційним органом, використовуючи відкритий ключ, уже відомий кінцевим користувачам (той стек сертифікатів Органу з сертифікації (CA), що знаходиться у вашому браузері).

Коли ви відвідуєте захищений від SSL веб-сайт із браузером, підписаний CN стає відомим браузеру. Що браузер вирішить зробити з цим, залежить від браузера. Браузери, які я знаю, порівнюють його з запитуваним ім'ям хосту, і помилка, якщо вона відрізняється (або якщо це сертифіковане прив'язка не витримує аналіз, наприклад, сертифікат підпису не відомий веб-переглядачу або прив'язка не- застарілих, але це вже інше питання). Нічого, що в принципі не заважає вам отримати публічно підписаний сертифікат, де CN є IP-адресою, а не FQDN (повнокваліфіковане доменне ім’я) [1], але це не змусить браузера порівнювати CN з IP адресу замість запитуваного імені хоста .

Я підозрюю, що найпростіший спосіб вирішити вашу проблему - це створити власний СА, що легко зробити, і про це є багато підручників з громадськості; один тут . Після того, як ваші кінцеві користувачі імпортують ваш CA у свої веб-переглядачі, усі сертифікати, які ви знайдете, будуть прийняті як авторитетні.

Тоді у вас може виникнути друга проблема в тому, що ви хочете запустити багато сайтів NameVirtualHost за однією IP-адресою. Це історично було непереборним, оскільки (на відміну від TLS) SSL переговори відбуваються раніше, ніж будь-що інше на зв'язку; тобто вбудований у ваш сертифікат CN відомий і використовується клієнтом, перш ніж клієнт зможе сказати, до якого хоста вони намагаються підключитися.

Нещодавно, здається, було введено розширення протоколу під назвою SNI (Вказівка ​​імені сервера), що дозволяє клієнтові та серверу вказувати, що вони хотіли б виконати деякі імена хоста до того, як буде представлено сертифікат SSL, що дозволяє отримати право набір сертифікатів, що надаються сервером. Мабуть, для цього потрібен apache 2.2.10, досить недавня версія OpenSSL та (що важливо ) підтримка на стороні клієнта.

Тож якби мені довелося робити те, що ти намагаєшся, я б дивився на карбування власного сертифіката ЦС, кажу своїм кінцевим користувачам, що вони повинні використовувати браузери, які підтримують SNI, та імпортувати мій кореневий сертифікат CA, а також вирізати та підписати власні SSL-сертифікати для кожного сайту bugtrack.

[1] Гаразд, ви, можливо, не знайшли того, хто це зробить, але це детальна інформація про реалізацію. Я намагаюся тут показати, що навіть якби ви це зробили, це не вирішило б вашої проблеми.

Є один Root Certificate Authority, про який я знаю, він попередньо заповнений усіма основними браузерами та видає SSL-сертифікати на загальнодоступні IP-адреси: подивіться на GlobalSign . Вони зачитують інформацію про RIPE, щоб підтвердити ваш запит на сертифікат, тому, можливо, вам слід спочатку перевірити, чи запис RIPE видано на правильне ім’я.

Що стосується зворотного зв'язку, цей запис отримав:

Так , бажано придбати доменне ім’я та видати SSL-сертифікат на цьому CN. Це також дешевше, ніж варіант GlobalSign вище.

Але є випадки, коли сертифікати SSL з публічним IP в якості КН є корисними. Багато Інтернет-провайдери та уряди блокують небажані сайти на основі інфраструктури DNS. Якщо ви пропонуєте якийсь сайт, який, ймовірно, буде заблокований, наприклад, з політичних причин, це хороший варіант, щоб цей сайт був доступний через його публічну IP-адресу. У той же час, ви будете хотіти , щоб зашифрувати трафік для тих користувачів , і ви не хочете , щоб користувачі не-технологій , щоб пройти через клопоти клацання через виключення безпеки попередження браузера (так як CN сертифіката не відповідає фактично введений). Змусити їх встановити свій власний Root CA - це ще більше клопоту і не реально.

Ідіть і купуйте доменне ім’я. Вони дешеві, не дешевші від цього. Вам потрібен лише один. Можливо, навіть просто налаштувати bugtracker.yourcompany.com.

Потім для кожного помилки налаштуйте піддомен для цього імені. Отримайте сертифікат SSL для кожного з цих субдоменів. Оскільки вам здається, що це особливо не проти витрат, компанія, з якою ви хочете вести бізнес, називається StartSSL.

http://www.startssl.com/

Причина, яку ви хочете використовувати, полягає в тому, що (окрім довіри основних браузерів) їх сертифікати не коштують руки та ноги. Самий базовий сорт cert - це справді, чесно кажучи, без ганьби. Вони перевіряють вашу особу, а потім дозволяють оформити стільки, скільки вам потрібно. Якщо ви хочете більш фантастичних сертифікатів (які зазвичай коштують кілька сотень баксів), ви шукаєте близько 50 доларів протягом двох років, щоб підтримувати SSL для декількох доменів в одному IP.

Вони дуже дешеві за те, що ви отримуєте. Вони видають справжні серти, яким довіряють браузери ваших клієнтів, а не 90-денні випробування, як це роблять інші місця.