Я хочу , чтобы мой сайт , чтобы использовать URL , как http://192.0.2.2/...
и https://192.0.2.2/...
для статического контента , чтобы избежать ненужных куки в запросе и избежать дополнительного запроса DNS.
Есть ли способ получить сертификат SSL для этой цели?
https
dns
ip-address
ssl-certificate
Evgenyt
источник
источник
Ответы:
Согласно этому ответу , это возможно, но редко используется.
Что касается того, как его получить: я хотел бы просто попытаться заказать его у выбранного вами поставщика и ввести IP-адрес вместо домена во время процесса заказа.
Тем не менее, запуск сайта на IP-адресе, чтобы избежать поиска DNS, звучит ужасно как ненужная микрооптимизация для меня. В лучшем случае вы сэкономите несколько миллисекунд, и это за посещение , поскольку результаты DNS кэшируются на нескольких уровнях.
Я не думаю, что ваша идея имеет смысл с точки зрения оптимизации.
источник
Краткий ответ - да, если это публичный IP-адрес.
Выдача сертификатов на зарезервированные IP-адреса не допускается, и все сертификаты, ранее выданные на зарезервированные IP-адреса, были отозваны с 1 октября 2016 года.
По данным CA Browser форума, могут возникнуть проблемы совместимости с сертификатами для IP - адресов , если IP - адрес не находится в обоих
commonName
иsubjectAltName
полей. Это происходит из-за устаревших реализаций SSL, которые не соответствуют RFC 5280, в частности, ОС Windows до Windows 10.Источники:
Примечание. В более ранней версии этого ответа говорилось, что все сертификаты IP-адресов будут аннулированы 1 октября 2016 года. Спасибо Navin за указание на ошибку.
источник
Ответ, наверное, да. Проверьте эту ссылку, например.
источник
Ага. Cloudflare использует его для своей домашней страницы инструкций DNS: https://1.1.1.1
источник
Common Name
поле будетcloudflare-dns.com
и1.1.1.1
только указано вCertificate Subject Alt Name
.Форум C / A Browser устанавливает, что является и не является действительным в сертификате, и что CA должен отклонить.
В соответствии с документом « Базовые требования к выдаче и управлению публично доверенными сертификатами» , С 2015 года ЦС не должны выдавать сертификаты, в которых поля общего имени или общих альтернативных имен содержат зарезервированный IP-адрес или внутреннее имя, где зарезервированные IP-адреса являются IP-адресами. что IANA перечислила как зарезервированное - которое включает в себя все IP-адреса NAT - а внутренние имена - это любые имена, которые не разрешаются в общедоступном DNS.
Общедоступные IP-адреса МОГУТ быть использованы (и документ базовых требований определяет, какие виды проверок должен выполнять ЦС, чтобы убедиться, что заявителю принадлежит IP).
источник
Это полностью зависит от центра сертификации, который выдал сертификат.
Что касается Let's Encrypt CA, они не будут выдавать сертификат TLS на общедоступный IP-адрес. https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082
Чтобы узнать свой центр сертификации, вы можете выполнить следующую команду и найти запись, помеченную ниже.
источник