私のサイトhttp://192.0.2.2/...
ではhttps://192.0.2.2/...
、静的コンテンツなどのURLを使用して、リクエストで不要なCookieを回避し、追加のDNSリクエストを回避したいと考えています。
この目的でSSL証明書を取得する方法はありますか?
私のサイトhttp://192.0.2.2/...
ではhttps://192.0.2.2/...
、静的コンテンツなどのURLを使用して、リクエストで不要なCookieを回避し、追加のDNSリクエストを回避したいと考えています。
この目的でSSL証明書を取得する方法はありますか?
回答:
この回答によると、それは可能ですが、ほとんど使用されていません。
入手方法については、お好みのプロバイダーで簡単に試して注文し、注文プロセスでドメインの代わりにIPアドレスを入力する傾向があります。
しかし、DNSルックアップを回避するためにIPアドレスでサイトを実行することは、私にとって不必要なマイクロ最適化のように聞こえます。DNSの結果は複数のレベルでキャッシュされるため、せいぜい数ミリ秒を節約できます。これは訪問ごとです。
あなたのアイデアは最適化の観点からは意味がないと思います。
短い答えは、それがパブリックIPアドレスである限り、はいです。
予約済みIPアドレスへの証明書の発行は許可されておらず、予約済みIPアドレスに以前に発行されたすべての証明書は2016年10月1日の時点で取り消されました。
CAブラウザフォーラムによると、IPアドレスがフィールドcommonName
とsubjectAltName
フィールドの両方にない場合、IPアドレスの証明書に互換性の問題がある可能性があります。これは、RFC 5280、特にWindows 10より前のWindows OSに準拠していない従来のSSL実装が原因です。
出典:
注:この回答の以前のバージョンでは、すべてのIPアドレス証明書が2016年10月1日に取り消されると述べていました。エラーを指摘してくれたNavinに感謝します。
答えはイエスだと思います。たとえば、このリンクを確認してください。
パブリックIPアドレスへのSSL証明書の発行
SSL証明書は通常、「https://www.domain.com」などの完全修飾ドメイン名(FQDN)に対して発行されます。ただし、一部の組織では、パブリックIPアドレスに対して発行されたSSL証明書が必要です。このオプションを使用すると、証明書署名要求(CSR)の共通名としてパブリックIPアドレスを指定できます。次に、発行された証明書を使用して、パブリックIPアドレス(https://123.456.78.99など)との接続を直接保護できます。
C / Aブラウザーフォーラムでは、証明書で有効なものと無効なもの、およびCAが拒否すべきものを設定します。
公的に信頼された証明書の発行と管理に関するベースライン要件によると、CAは2015年以降、共通名または共通代替名フィールドに予約済みIPまたは内部名が含まれ、予約済みIPアドレスがIPである場合、証明書を発行してはなりませんIANAが予約済み(すべてのNAT IPを含む)としてリストされていること、および内部名はパブリックDNSで解決されない名前です。
パブリックIPアドレスを使用できます(ベースライン要件のドキュメントでは、申請者がIPを所有していることを確認するためにCAが実行する必要があるチェックの種類を指定しています)。
証明書を発行する認証局に完全に依存します。
Let's Encrypt CAに関しては、パブリックIPアドレスでTLS証明書を発行しません。 https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082
認証局を知るには、次のコマンドを実行して、下にマークされているエントリを探します。
curl -v -u <username>:<password> "https://IPaddress/.."