IPアドレスがSSLエラーを表示せずに異なる発行のSSL証明書を持つにはどうすればよいですか?
上記のCloudFlareのサイトはHTTPSに対応しており、アドレスバーに https://1.1.1.1/ と表示されています。証明書はcloudflare-dns.comに発行されます。
証明書には複数の名前を付けることができます– X.509 v3は、「SubjectAlternativeName」または「subjectAltName」と呼ばれる拡張機能をサポートしています。この拡張機能には、名前のリストが含まれています。この場合:
DNS Name=cloudflare-dns.com
DNS Name=*.cloudflare-dns.com
DNS Name=one.one.one.one
IP Address=1.1.1.1
IP Address=1.0.0.1
IP Address=162.159.132.53
IP Address=2606:4700:4700:0000:0000:0000:0000:1111
IP Address=2606:4700:4700:0000:0000:0000:0000:1001
IP Address=2606:4700:4700:0000:0000:0000:0000:0064
IP Address=2606:4700:4700:0000:0000:0000:0000:6400
IP Address=162.159.36.1
IP Address=162.159.46.1
TLSでは、この拡張機能にDNS名またはIPアドレスが含まれている場合、証明書はそれらの名前のallに対して有効であり、さらに 完全に)オーバーライド プライマリサブジェクト「CN」フィールド。
実際、主要なWebブラウザーは、subjectAltNameをrequireし、サブジェクト「CN」を完全に無視することを決定しました(ただし、内部証明書ではなく、商用WebPKI証明書のみ)。 。将来、WebPKI証明書にはCNフィールドがまったくない可能性があります。
(この切り替えの理由の1つは、事実上すべてのシステムがSANをサポートしているため、CNが実質的に関連しなくなったことです。もう1つは、subjectAltNamesが強く型付けされていることです(各項目はDNSドメイン、電子メールアドレス、またはIPとしてマークされています)アドレス...)一方、通常の件名CNは自由形式のテキストであり、その意味はシステムに依存します。)