ドメイン名ではなく、IPアドレスのSSL証明書を持つことはできますか？

私のサイトhttp://192.0.2.2/...ではhttps://192.0.2.2/...、静的コンテンツなどのURLを使用して、リクエストで不要なCookieを回避し、追加のDNSリクエストを回避したいと考えています。

この目的でSSL証明書を取得する方法はありますか？

この回答によると、それは可能ですが、ほとんど使用されていません。

入手方法については、お好みのプロバイダーで簡単に試して注文し、注文プロセスでドメインの代わりにIPアドレスを入力する傾向があります。

しかし、DNSルックアップを回避するためにIPアドレスでサイトを実行することは、私にとって不必要なマイクロ最適化のように聞こえます。DNSの結果は複数のレベルでキャッシュされるため、せいぜい数ミリ秒を節約できます。これは訪問ごとです。

あなたのアイデアは最適化の観点からは意味がないと思います。

短い答えは、それがパブリックIPアドレスである限り、はいです。

予約済みIPアドレスへの証明書の発行は許可されておらず、予約済みIPアドレスに以前に発行されたすべての証明書は2016年10月1日の時点で取り消されました。

CAブラウザフォーラムによると、IPアドレスがフィールドcommonNameとsubjectAltNameフィールドの両方にない場合、IPアドレスの証明書に互換性の問題がある可能性があります。これは、RFC 5280、特にWindows 10より前のWindows OSに準拠していない従来のSSL実装が原因です。

出典：

1. 証明書 CAブラウザーフォーラムの IPアドレスに関するガイダンス
2. ベースライン要件1.4.1 CAブラウザフォーラム
3. （間もなく）それほど一般的ではない名前 unmitigatedrisk.com
4. RFC 5280 IETF

_{注：この回答の以前のバージョンでは、すべてのIPアドレス証明書が2016年10月1日に取り消されると述べていました。エラーを指摘してくれたNavinに感謝します。}

答えはイエスだと思います。たとえば、このリンクを確認してください。

パブリックIPアドレスへのSSL証明書の発行

SSL証明書は通常、「https://www.domain.com」などの完全修飾ドメイン名（FQDN）に対して発行されます。ただし、一部の組織では、パブリックIPアドレスに対して発行されたSSL証明書が必要です。このオプションを使用すると、証明書署名要求（CSR）の共通名としてパブリックIPアドレスを指定できます。次に、発行された証明書を使用して、パブリックIPアドレス（https://123.456.78.99など）との接続を直接保護できます。

うん。CloudflareはそれをDNS指示のホームページに使用しています：https : //1.1.1.1

C / Aブラウザーフォーラムでは、証明書で有効なものと無効なもの、およびCAが拒否すべきものを設定します。

公的に信頼された証明書の発行と管理に関するベースライン要件によると、CAは2015年以降、共通名または共通代替名フィールドに予約済みIPまたは内部名が含まれ、予約済みIPアドレスがIPである場合、証明書を発行してはなりませんIANAが予約済み（すべてのNAT IPを含む）としてリストされていること、および内部名はパブリックDNSで解決されない名前です。

パブリックIPアドレスを使用できます（ベースライン要件のドキュメントでは、申請者がIPを所有していることを確認するためにCAが実行する必要があるチェックの種類を指定しています）。

証明書を発行する認証局に完全に依存します。

Let's Encrypt CAに関しては、パブリックIPアドレスでTLS証明書を発行しません。 https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082

認証局を知るには、次のコマンドを実行して、下にマークされているエントリを探します。

curl -v -u <username>:<password> "https://IPaddress/.."