Quiero que mi sitio para utilizar URLs como http://192.0.2.2/... y https://192.0.2.2/... para el contenido estático para evitar la innecesaria cookies en la solicitud Y evitar adicional petición DNS.

Hay alguna forma de obtener el certificado SSL para este propósito?

  • Esta pregunta puede ser de interés: se puede, pero la dirección IP debe estar en un SAN entrada de dirección IP, escriba, no en el CN de la Asignatura DN.
  • LetsEncrypt no hacerlo . «»»» x.x.x.x es una dirección IP. La Vamos a Cifrar el certificado de la autoridad de no emitir certificados para un desnudo de la dirección IP.»»»
  • C/Browser Forum ofrece un conjunto de directivas de emisión. Obviamente, es seguido por los navegadores. CA/B no permite que las direcciones IP. Otro conjunto de directivas de emisión se mantiene por el IETF. El IETF en la PKI se llama PKIX. PKIX permite que las direcciones IP. PKIX es seguido por la mayoría de los [libre?] el software, como cURL, Wget. No puedo entender el cert para 1.1.1.1. Debe ser prohibido de acuerdo a CA/B políticas. Tal vez CA/B cambiado sus políticas.
InformationsquelleAutor Evgenyt | 2010-01-11

5 Comentarios

  1. 142

    Según esta respuesta, es posible, pero rara vez se utiliza.

    Como para cómo llegar: me gustaría simplemente tienden a tratar y para uno con el proveedor de su elección, y escriba la dirección IP en lugar de un dominio durante el proceso de pedido.

    Sin embargo, la ejecución de un sitio en una dirección IP para evitar la búsqueda de DNS suena horriblemente como innecesaria de micro-optimización para mí. Usted va a ahorrar un par de milisegundos, en el mejor, y que es por visita, como DNS los resultados se almacenan en caché en múltiples niveles.

    No creo que su idea tiene sentido desde un punto de vista de la optimización de la.

    • AFAIK, 1 vez por minuto (Firefox caché de DNS) y 1 vez por 30 minutos para IE. Esto difiere de TTL de registros DNS. También se tarda unos 20ms para mí, dependiendo de dominio y que tan rápido se NS servidores (que son también para ser resueltas a la primera 🙂 ) yo también quiero evitar mi larga cookies (mi auth + las cookies de Google Analytics) para cada solicitud estática. Así que el uso de IP en lugar de comprar otro dominio que es bueno. Por CIERTO, stackoverflow, basecamphq uso de dominio independiente para el contenido estático. El uso de IP en lugar de eliminar innecesarios petición de DNS(s) también.
    • Estoy totalmente de ver su punto de con las cookies, usted está totalmente a la derecha. Pero para cambiar a un SSL IP para salvar a los pocos ms a la búsqueda de DNS sonidos molestia más para mí de lo que vale. Además, puede tener problemas para tomar su IP con usted si usted tiene que cambiar su proveedor – probablemente no sea posible. La transferencia de dominio es mucho más fácil, y debe ser posible mover un certificado con ella a mitad de camino fácilmente.
    • Google Page Speed herramienta siempre sugiere a «Servir a los siguientes recursos de JavaScript desde el mismo host que el documento principal (xxxx.com), o diferir la carga de estos recursos, si es posible». No estoy de clasificación de la Velocidad de la Página de la herramienta como de la biblia, pero de todos modos que significa DNS de optimización no fue inventado por mí. Sólo estoy tratando de hacer mi Velocidad de la Página de lista de verificación verde donde sea posible.
    • No creo que la causa de la búsqueda de DNS, que como se indicó se almacena en caché en tantos niveles, que no puede ser un problema de rendimiento. Más probable es permitir a los navegadores a la canalización de sus demandas. Mantener la conexión con el host abierto, evitando así la instalación de conexiones adicionales.
    • ¿HTTPS para la IP de trabajo para los principales «reconocido a nivel mundial» CAs o ¿quiere decir que sólo funcionan para «ser» CAs?
    • Se ejecuta en una situación donde es necesario. VMware view remoto de escritorios virtuales. el usuario inicie sesión en un «corredor», que asigna una VM de windows por dirección ip. Del usuario del cliente de escritorio remoto se inicia y le dijo que para conectarse a una IP determinada. (en algunos casos, PCoIP en lugar de escritorio remoto, pero a escritorio remoto es definitivamente posible y supongo que en algunos casos es deseable.)
    • Estoy de acuerdo con la respuesta. También, hemos encontrado un problema con la configuración. Resultó que el navegador Chrome (39.0.2171.93) en el sistema operativo Android (4.4,5.0; obras en 4.0,4 ) no se puede reproducir archivos de audio a través de HTTPS si la dirección IP se utiliza como certificado de destino. Estábamos acostumbrados a usar esta configuración para nuestro entorno de prueba, pero empezarán a utilizar los nombres de dominio.
    • Parece que usted no cree IP certificados SSL más: uk.godaddy.com/help/…
    • Lo que si necesito SSL para mi IOT hardware de servidor, que en su mayoría se usa localmente en la misma red y tiene dominio myiot.local. Es posible que en este caso para crear SSL sin previo aviso.
    • Vine aquí porque de 1.1.1.1 😀
    • Otro problema surge cuando la ip cambia. Que ocurre una vez al mes o así, con un isp.
    • «Nombre interno» y la IP privada de los certificados están en desuso en octubre de 2016, de acuerdo a la CA Navegador Foro.

  2. 53

    La respuesta corta es sí, siempre y cuando se trata de una dirección IP pública.

    La emisión de certificados a direcciones IP reservadas no está permitido, y todos los certificados emitidos previamente a direcciones IP reservadas fueron derogadas a partir del 1 de octubre de 2016.

    De acuerdo a la CA Navegador foro, puede haber problemas de compatibilidad con los certificados para las direcciones IP, a menos que la dirección IP está en la commonName y subjectAltName campos. Esto es debido a la herencia SSL implementaciones que no están alineados con RFC 5280, en particular el sistema operativo de Windows anteriores a Windows 10.


    Fuentes:

    1. La orientación de las Direcciones IP En los Certificados de CA Navegador en el Foro de
    2. Línea De Base De Los Requisitos De Los Puntos 1.4.1 CA Navegador en el Foro de
    3. El (próximo) no tan Común Nombre unmitigatedrisk.com
    4. RFC 5280 IETF

    Nota: una versión anterior de esta respuesta se indicó que todas las direcciones IP de los certificados sería revocado el 1 de octubre de 2016. Gracias a Navin por señalar el error.

    • No es cierto, globalsign temas certs para IPs. La Autoridad de certificación/Browser Forum no le gusta ver a IPs privados en los certs, pero no tiene nada en contra de IPs públicas.
    • Parece que mi información puede estar fuera de fecha. Voy a mirar en más y, a continuación, editar si estás en lo correcto.
    • No es cierto, mira 1.1.1.1 Que obtener un certificado SSL para ip en 2019 y válida para el año 2021 de DigiCert
    • que es una dirección IP pública, por lo tanto, sí se puede obtener un certificado para ello. El solo trata de que no se puede emitir un certificado de en.wikipedia.org/wiki/Reserved_IP_addresses
  3. 29

    La respuesta, supongo, es que sí. Compruebe en este enlace por ejemplo.

    La emisión de un Certificado SSL a una Dirección IP Pública

    Un certificado SSL se atribuyen normalmente a un Nombre de Dominio completo (FQDN) como «https://www.domain.com«. Sin embargo, algunas organizaciones necesitan un certificado SSL emitido a una dirección IP pública. Esta opción le permite especificar una dirección IP pública, como el Nombre Común en su Solicitud de Firma de Certificado (CSR). El certificado emitido luego puede ser utilizado para conexiones seguras directamente con la dirección IP pública (por ejemplo, https://123.456.78.99.).

    • Funciona también con IP privada estática? Como para una LAN?
    • Byskov Pedersen Podría usted por favor me proporcione un recurso sobre cómo hacer esto?
    • se está trabajando con IP privada también
  4. 2

    La C/Browser forum establece qué es y qué no es válido en un certificado, y lo de la CA debe rechazar.

    De acuerdo a sus Requisitos Básicos
    para el
    Emisión y Gestión de
    Públicamente Certificados De Confianza
    documento, CAs, ya que el año 2015, no problema certificats donde el nombre común o alternativos comunes los nombres de los campos contiene una dirección IP reservada o nombre interno, donde las direcciones IP reservadas son IPs que la IANA ha catalogado como reservados – que incluye todos los NAT IPs y nombres internos son alguno de los nombres que no se resuelvan en el DNS público.

    Direcciones IP públicas se PUEDEN utilizar (y de la línea de base de los requisitos doc especifica qué tipos de mecanismos de control de CA debe realizar para asegurarse de que el solicitante posee la propiedad intelectual).

Dejar respuesta

Please enter your comment!
Please enter your name here