ドメイン名ではなく、IPアドレスのSSL証明書を持つことはできますか?


281

私のサイトhttp://192.0.2.2/...ではhttps://192.0.2.2/...、静的コンテンツなどのURLを使用して、リクエストで不要なCookieを回避し、追加のDNSリクエストを回避したいと考えています。

この目的でSSL証明書を取得する方法はありますか?


3
この質問は興味深いかもしれません:できますが、IPアドレスはサブジェクトDNのCNではなく、IPアドレスタイプのSANエントリにある必要があります。
ブルーノ

14
LetsEncryptはそうしません。"" "" xxxxはIPアドレスです。Let's Encrypt認証局は、ベアIPアドレスの証明書を発行しません。 "" "
kommradHomer

1
C / Aブラウザフォーラムは、発行ポリシーの1つのセットを提供します。明らかに、ブラウザがそれに続きます。CA / BはIPアドレスを許可しなくなりました。発行ポリシーの別のセットは、IETFによって維持されます。IETFのPKIはPKIXと呼ばれます。PKIXはIPアドレスを許可します。PKIXの後には、cURLやWgetなどのほとんどの[無料?]ソフトウェアが続きます。1.1.1.1の証明書がわかりません。CA / Bポリシーに従って禁止する必要があります。CA / Bがポリシーを変更した可能性があります。
jww

回答:


169

この回答によると、それは可能ですが、ほとんど使用されていません。

入手方法については、お好みのプロバイダーで簡単に試して注文し、注文プロセスでドメインの代わりにIPアドレスを入力する傾向があります。

しかし、DNSルックアップを回避するためにIPアドレスでサイトを実行することは、私にとって不必要なマイクロ最適化のように聞こえます。DNSの結果は複数のレベルでキャッシュされるため、せいぜい数ミリ秒を節約できます。これは訪問ごとです。

あなたのアイデアは最適化の観点からは意味がないと思います。


9
AFAIK、IEは毎分1回(Firefox DNSキャッシュ)、30分に1回。これはDNSレコードのTTLとは異なります。また、ドメインとNSサーバーの速度(最初に解決する必要があります)にもよりますが、20ミリ秒ほどかかります。静的リクエストごとに長いCookie(認証とGoogle Analytics Cookie)を避けたいです。したがって、個別のドメインを購入する代わりにIPを使用することは良いことです。BTW、stackoverflow、basecamphqは、静的コンテンツに別のドメインを使用します。代わりにIPを使用すると、不要なDNS要求も削除されます。
Evgenyt 2010年

12
私はクッキーであなたのポイントを絶対に見ます、あなたは完全に正しいです。しかし、SSLのIPに切り替えて数ミリ秒のDNSルックアップを節約するのは、私にとって、それよりも面倒なことです。さらに、プロバイダーを変更する必要がある場合、IPの持ち出しに問題が発生する可能性があります。おそらく不可能です。ドメインの移動ははるかに簡単であり、ドメインの証明書を途中で簡単に移動できるはずです。
ペッカ

2
GoogleのPage Speedツールは常に「メインドキュメント(xxxx.com)と同じホストから次のJavaScriptリソースを提供するか、可能であればこれらのリソースのロードを延期する」ことを推奨します。私はPage Speedツールを聖書と評価していませんが、とにかくDNS最適化は私が発明したものではありません。Page Speedのチェックリストをできるだけグリーンにしようと思っています。
Evgenyt 2010年

11
@Evgenyt:DNSルックアップが原因であるとは思いません。前述のとおり、DNSルックアップは非常に多くのレベルでキャッシュされているため、パフォーマンスの問題にはなりません。より可能性が高いのは、ブラウザーが要求をパイプライン処理できるようにすることです。ホストへの接続を開いたままにし、追加の接続のセットアップを回避します。
vdstw 2011

5
私はその答えに同意します。また、このような構成で問題が見つかりました。判明したことですが、Android OS(4.4,5.0; 4.0,4で動作)上のChromeブラウザ(39.0.2171.93)は、IPアドレスが証明書ターゲットとして使用されている場合、HTTPS経由でオーディオファイルを再生しません。以前はこのような構成をテスト環境で使用していましたが、ドメイン名の使用を開始します。
ENargit 2015年

58

短い答えは、それがパブリックIPアドレスである限り、はいです。

予約済みIPアドレスへの証明書の発行は許可されておらず、予約済みIPアドレスに以前に発行されたすべての証明書は2016年10月1日の時点で取り消されました。

CAブラウザフォーラムによると、IPアドレスがフィールドcommonNamesubjectAltNameフィールドの両方にない場合、IPアドレスの証明書に互換性の問題がある可能性があります。これは、RFC 5280、特にWindows 10より前のWindows OSに準拠していない従来のSSL実装が原因です。


出典:

  1. 証明書 CAブラウザーフォーラムの IPアドレスに関するガイダンス
  2. ベースライン要件1.4.1 CAブラウザフォーラム
  3. (間もなく)それほど一般的ではない名前 unmitigatedrisk.com
  4. RFC 5280 IETF

注:この回答の以前のバージョンでは、すべてのIPアドレス証明書が2016年10月1日に取り消されると述べていました。エラーを指摘してくれたNavinに感謝します。


5
真実ではありません。globalsignは引き続きIPの証明書を発行します。認証局/ブラウザフォーラムは、証明書にプライベートIPを表示するのは好きではありませんが、パブリックIPに対しては何もしません。
Navin、2016年

1
情報が古くなっているようです。もっと詳しく調べて、正しければ編集します。
regdoug 16

真実ではない、見1.1.1.1は、 彼らはDigiCertから2021年に2019年と有効にIPのためのSSL証明書を取得する
青銅の男

@bronzemanはパブリックIPアドレスなので、はい、証明書を取得できます。証明書を発行できない唯一のアドレスはen.wikipedia.org/wiki/Reserved_IP_addressesです
regdoug

@ DustWolf、RFC 5280、「subjectAltName拡張にiPAddressが含まれる場合、アドレスは[RFC791]で指定されているように、「ネットワークバイトオーダー」のオクテット文字列に格納する必要があります。...IPバージョン4の場合...、オクテット文字列には、正確に4オクテットが含まれている必要があります。」つまり、subjectAltNameフィールドでサブネットを使用することはできません
regdoug

31

答えはイエスだと思います。たとえば、このリンクを確認してください。

パブリックIPアドレスへのSSL証明書の発行

SSL証明書は通常、「https://www.domain.com」などの完全修飾ドメイン名(FQDN)に対して発行されます。ただし、一部の組織では、パブリックIPアドレスに対して発行されたSSL証明書が必要です。このオプションを使用すると、証明書署名要求(CSR)の共通名としてパブリックIPアドレスを指定できます。次に、発行された証明書を使用して、パブリックIPアドレス(https://123.456.78.99など)との接続を直接保護できます。


5
静的プライベートIPでも動作しますか?LANが好きですか?
Bonjour氏2016

@クラウス・ビスコフ・ペダーセンこれを行う方法についての情報を提供していただけませんか?
レイハイン

2
@ShivSingh任意のソース?有名なCAがプライベートIPアドレスに証明書を発行することはないと思います。
フランクリンYu

22

うん。CloudflareはそれをDNS指示のホームページに使用しています:https : //1.1.1.1


8
これは見た目とはかなり異なります。あなたが証明書を検査した場合、Common Nameフィールドがあるcloudflare-dns.com1.1.1.1だけ下に表示されますCertificate Subject Alt Name
飲酒労働者

3
@bitinerant サブジェクトの別名が存在する場合共通名は無視されます。実際、共通名は廃止されており、本当に関連するのはSANだけです。
Yogu

3

C / Aブラウザーフォーラムでは、証明書で有効なものと無効なもの、およびCAが拒否すべきものを設定します。

公的に信頼された証明書の発行と管理に関するベースライン要件によると、CAは2015年以降、共通名または共通代替名フィールドに予約済みIPまたは内部名が含まれ、予約済みIPアドレスがIPである場合、証明書を発行してはなりませんIANAが予約済み(すべてのNAT IPを含む)としてリストされていること、および内部名はパブリックDNSで解決されない名前です。

パブリックIPアドレスを使用できます(ベースライン要件のドキュメントでは、申請者がIPを所有していることを確認するためにCAが実行する必要があるチェックの種類を指定しています)。


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.