web-dev-qa-db-ja.com

ドメイン名ではなく、IPアドレス用のSSL証明書を持つことは可能ですか?

私のサイトは静的コンテンツにhttp://192.0.2.2/...https://192.0.2.2/...のようなURLを使って、リクエストに不要なクッキーが入らないようにし、追加のDNSリクエストが入らないようにしたいです。

この目的でSSL証明書を取得する方法はありますか?

219
Evgenyt

この答え によると、それは可能ですが、めったに使われません。

それを取得する方法としては:私は単にあなたの選択のプロバイダに1つを試して注文し、注文プロセス中にドメインの代わりにIPアドレスを入力する傾向があります。

しかし、DNS検索を避けるためにIPアドレスでサイトを運営することは、不必要なマイクロ最適化のように思えます。 DNSの結果は複数のレベルでキャッシュされるので、たかだか数ミリ秒節約できます。これは1回の訪問あたりです

最適化の観点からあなたの考えが理にかなっているとは思わない。

135
Pekka 웃

簡単な答えは、それがパブリックIPアドレスである限り、はいです。

予約済みIPアドレスへの証明書の発行は許可されておらず、以前に予約済みIPアドレスに発行されたすべての証明書は2016年10月1日の時点で失効しています。

CA Browserフォーラムによると、IPアドレスがcommonNameおよびsubjectAltNameの両方のフィールドにない限り、IPアドレスの証明書との互換性の問題がある可能性があります。これは、RFC 5280に準拠していない従来のSSL実装、特にWindows 10より前のWindows OSによるものです。


出典:

  1. 証明書内のIPアドレスに関するガイダンスCAブラウザフォーラム
  2. ベースライン要件1.4.1CAブラウザフォーラム
  3. もうすぐそうではない一般名unmitigatedrisk.com
  4. RFC 528IETF

注:この回答の以前のバージョンでは、2016年10月1日にすべてのIPアドレス証明書が取り消される予定でした。エラーを指摘してくれたNavinに感謝します。

50
regdoug

私の推測する答えは「はい」です。例えば--- このリンク をチェックしてください。

パブリックIPアドレスへのSSL証明書の発行

SSL証明書は通常、 " https://www.domain.com "などの完全修飾ドメイン名(FQDN)に発行されます。ただし、組織によっては、パブリックIPアドレスに対して発行されたSSL証明書が必要です。このオプションを使用すると、証明書署名要求(CSR)の共通名としてパブリックIPアドレスを指定できます。その後、発行された証明書を使用して、パブリックIPアドレスとの接続を直接保護することができます(例: https://123.456.78.99 )。

28

うんCloudflareはそのDNS命令のホームページにそれを使用しています。 https://1.1.1.1

15
mehulmpt

C/Aブラウザフォーラムでは、証明書に何が含まれているかどうか、およびどのCAが拒否すべきかを設定します。

彼らの 公的に信頼された証明書の発行と管理のためのベースライン要件 文書によると、CAは、2015年以降、共通名または共通代替名フィールドに予約IPまたは内部名が含まれる証明書を発行してはいけませんここで、予約済みIPアドレスはIANAが予約済みとしてリストしたIP(すべてのNAT IPを含む)で、内部名はパブリックDNSで解決されない名前です。

パブリックIPアドレスを使用することができます(およびベースライン要件の文書では、申請者がIPを確実に所有するためにCAが実行する必要があるチェックの種類を指定しています)。

2
Chris Becke