web-dev-qa-db-fra.com

Est-il possible d'avoir un certificat SSL pour une adresse IP, pas un nom de domaine?

Je souhaite que mon site utilise des URL telles que http://192.0.2.2/... et https://192.0.2.2/... pour le contenu statique afin d'éviter les cookies inutiles dans les requêtes ET d'éviter les requêtes DNS supplémentaires.

Existe-t-il un moyen d'obtenir un certificat SSL à cette fin?

193
Evgenyt

Selon cette réponse , c'est possible, mais rarement utilisé. 

Pour ce qui est de savoir comment l'obtenir: j'aurais tendance à essayer simplement d'en commander un auprès du fournisseur de votre choix et d'entrer l'adresse IP au lieu d'un domaine lors du processus de commande.

Cependant, exécuter un site sur une adresse IP pour éviter la recherche DNS me semble terriblement inutile. Vous économiserez au mieux quelques millisecondes, à savoir par visite, car les résultats DNS sont mis en cache sur plusieurs niveaux.

Je ne pense pas que votre idée soit logique du point de vue de l'optimisation. 

121
Pekka 웃

La réponse courte est oui, tant que c'est une adresse IP publique.

L'émission de certificats vers des adresses IP réservées n'est pas autorisée et tous les certificats précédemment émis pour des adresses IP réservées ont été révoqués à compter du 1er octobre 2016.

Selon le forum CA Browser, il peut exister des problèmes de compatibilité avec les certificats pour les adresses IP, à moins que l’adresse IP ne soit dans les champs commonName et subjectAltName. Cela est dû aux implémentations SSL existantes qui ne sont pas alignées sur RFC 5280, notamment sur les systèmes d'exploitation Windows antérieurs à Windows 10.


Sources:

  1. Conseils sur les adresses IP dans les certificats Forum sur le navigateur CA 
  2. Configuration minimale requise 1.4.1 Forum sur le navigateur CA
  3. Le nom bientôt commun unmitigatedrisk.com
  4. RFC 5280 IETF

Remarque: une version antérieure de cette réponse indiquait que tous les certificats d'adresse IP seraient révoqués le 1er octobre 2016. Merci à Navin d'avoir signalé l'erreur.

47
regdoug

La réponse, je suppose, est oui. Vérifiez ce lien par exemple. 

Emission d'un certificat SSL sur une adresse IP publique

Un certificat SSL est généralement attribué à un nom de domaine complet (FQDN) tel que " https://www.domain.com ". Cependant, certaines organisations ont besoin d'un certificat SSL émis pour une adresse IP publique. Cette option vous permet de spécifier une adresse IP publique en tant que nom commun dans votre demande de signature de certificat (CSR). Le certificat émis peut ensuite être utilisé pour sécuriser des connexions directement avec l'adresse IP publique (par exemple, https://123.456.78.99 .).

28

Oui. Cloudflare l'utilise pour sa page d'accueil d'instructions DNS: https://1.1.1.1

13
mehulmpt

Le forum du navigateur C/A définit ce qui est valide ou non dans un certificat et ce que les autorités de certification doivent rejeter.

Selon leurs Exigences de base Pour la Émission et la gestion de Certificats de confiance publique document, les CA doivent, depuis 2015, ne pas émettre de certificats où le champ du nom commun ou des champs des noms alternatifs communs contient une adresse IP réservée ou un nom interne, où les adresses IP réservées sont des adresses IP que l'IANA a répertoriées comme étant réservées - ce qui inclut toutes les adresses IP NAT - et les noms internes sont tous les noms qui ne sont pas résolus sur le DNS public.

Les adresses IP publiques PEUVENT être utilisées (et le document sur les exigences de base spécifie les types de vérifications qu'une autorité de certification doit effectuer pour garantir que le demandeur possède l'IP).

0
Chris Becke