ドメイン名ではなく、IPアドレス用のSSL証明書を持つことは可能ですか?
私のサイトは静的コンテンツにhttp://192.0.2.2/...やhttps://192.0.2.2/...のようなURLを使って、リクエストに不要なクッキーが入らないようにし、追加のDNSリクエストが入らないようにしたいです。
この目的でSSL証明書を取得する方法はありますか?
この答え によると、それは可能ですが、めったに使われません。
それを取得する方法としては:私は単にあなたの選択のプロバイダに1つを試して注文し、注文プロセス中にドメインの代わりにIPアドレスを入力する傾向があります。
しかし、DNS検索を避けるためにIPアドレスでサイトを運営することは、不必要なマイクロ最適化のように思えます。 DNSの結果は複数のレベルでキャッシュされるので、たかだか数ミリ秒節約できます。これは1回の訪問あたりです。
最適化の観点からあなたの考えが理にかなっているとは思わない。
簡単な答えは、それがパブリックIPアドレスである限り、はいです。
予約済みIPアドレスへの証明書の発行は許可されておらず、以前に予約済みIPアドレスに発行されたすべての証明書は2016年10月1日の時点で失効しています。
CA Browserフォーラムによると、IPアドレスがcommonNameおよびsubjectAltNameの両方のフィールドにない限り、IPアドレスの証明書との互換性の問題がある可能性があります。これは、RFC 5280に準拠していない従来のSSL実装、特にWindows 10より前のWindows OSによるものです。
出典:
- 証明書内のIPアドレスに関するガイダンスCAブラウザフォーラム
- ベースライン要件1.4.1CAブラウザフォーラム
- もうすぐそうではない一般名unmitigatedrisk.com
- RFC 528IETF
注:この回答の以前のバージョンでは、2016年10月1日にすべてのIPアドレス証明書が取り消される予定でした。エラーを指摘してくれたNavinに感謝します。
私の推測する答えは「はい」です。例えば--- このリンク をチェックしてください。
パブリックIPアドレスへのSSL証明書の発行
SSL証明書は通常、 " https://www.domain.com "などの完全修飾ドメイン名(FQDN)に発行されます。ただし、組織によっては、パブリックIPアドレスに対して発行されたSSL証明書が必要です。このオプションを使用すると、証明書署名要求(CSR)の共通名としてパブリックIPアドレスを指定できます。その後、発行された証明書を使用して、パブリックIPアドレスとの接続を直接保護することができます(例: https://123.456.78.99 )。
うんCloudflareはそのDNS命令のホームページにそれを使用しています。 https://1.1.1.1
C/Aブラウザフォーラムでは、証明書に何が含まれているかどうか、およびどのCAが拒否すべきかを設定します。
彼らの 公的に信頼された証明書の発行と管理のためのベースライン要件 文書によると、CAは、2015年以降、共通名または共通代替名フィールドに予約IPまたは内部名が含まれる証明書を発行してはいけませんここで、予約済みIPアドレスはIANAが予約済みとしてリストしたIP(すべてのNAT IPを含む)で、内部名はパブリックDNSで解決されない名前です。
パブリックIPアドレスを使用することができます(およびベースライン要件の文書では、申請者がIPを確実に所有するためにCAが実行する必要があるチェックの種類を指定しています)。