Отказ от SSL сертификатов для локальных доменов и IP адресов
Почему отменили SSL сертификаты для IP и локальных доменов?
SSL сертификаты идентифицируют компьютеры в качестве серверов, предлагающих один или несколько протоколов (обычно HTTP для веб траффика, но также и SMTP, POP, IMAP, FTP, XMPP, RDP и другие) через SSL/TLS. Сервер может быть доступен по ряду имен или адресов. Сервер, подключенный к сети Интернет, как правило, имеет собственное имя в системе доменных имен DNS (от Domain Name System), что позволяет любой другой системе в Интернете преобразовать это имя в IP адрес и получить доступ к серверу.
П олностью определённое имя домена (FQDN), как, например, www.emaro-ssl.ru; представляет собой уникальную и легко отличимую от других единицу в Интернете (даже если несколько серверов ответят на это доменное имя, управлять им может только одно лицо). В то же время, на неопределенное имя домена «mail» могут отвечать тысячи систем в публичных и приватных (локальных) сетях. В сети Интернет только один узел связи имеет IP адрес “5.63.155.56”, в то время как десятки тысяч домашних интернет-шлюзов имеют адрес “192.168.0.1”. SSL сертификаты от доверенных центров сертификации выдаются с той целью, чтобы обеспечить безопасность и доверие для доменных имен по всей сети Интернет.
Неуникальные доменные имена по самой своей природе не могут быть идентифицированы вне своего локального контекста, поэтому SSL сертификаты, выданные для локальных доменов, являются потенциально опасными, так как могут быть использованы в мошеннических целях. Именно по этой причине центры сертификации отказываются от выпуска SSL сертификатов для неуникальных доменов и IP адресов, как “mail”, “mail.local” или “192.168.0.1”.
Почему опасно использовать SSL сертификаты для локальных доменов и IP адресов?
Если злоумышленник использует такой сертификат в корпоративной локальной сети вместе со спуфингом локального имени, он сможет без проблем подменить настоящий сервер корпоративной электронной почты и заполучить данные пользователя для входа в систему и другую конфиденциальную информацию. При этом мошеннику даже не обязательно находиться в корпоративной сети, чтобы успешно провести атаку. Если пользователь подключит свой корпоративный ноутбук к публичной сети WiFi, почтовый клиент может автоматически попытаться подключиться к “https://mail/” прежде, чем будет установлено соединение через VPN. В этот момент злоумышленник может произвести подмену и украсть данные пользователя.
Здесь следует заметить, что не имеет значения, использовался ли SSL сертификат от известного доверенного центра сертификации (как Sectigo (Comodo), Thawte, Symantec и другие), или же самоподписанный SSL сертификат от частного корпоративного центра сертификации. Если между SSL сертификатом, используемым мошенником, будет установлена цепочка с центром сертификации в хранилище браузера или операционной системы, сертификат будет принят всеми клиентами, создавая уязвимость даже на стороне пользователей частной инфраструктуры приватных ключей (PKI). Из-за того, что невозможно провести полноценную проверку локальных доменов и IP адресов, а также из-за высокой возможности использования таких SSL сертификатов в мошеннических целях, Форум ЦС и Браузеров принял решение о прекращении их выдачи.
Is it possible to have SSL certificate for IP address, not domain name?
I want my site to use URLs like http://192.0.2.2/. and https://192.0.2.2/. for static content to avoid unnecessary cookies in request AND avoid additional DNS request.
Is there any way to obtain SSL cert for this purpose?
7 Answers 7
According to this answer, it is possible, but rarely used.
As for how to get it: I would tend to simply try and order one with the provider of your choice, and enter the IP address instead of a domain during the ordering process.
However, running a site on an IP address to avoid the DNS lookup sounds awfully like unnecessary micro-optimization to me. You will save a few milliseconds at best, and that is per visit, as DNS results are cached on multiple levels.
I don’t think your idea makes sense from an optimization viewpoint.
The short answer is yes, as long as it is a public IP address.
Issuance of certificates to reserved IP addresses is not allowed, and all certificates previously issued to reserved IP addresses were revoked as of 1 October 2016.
According to the CA Browser forum, there may be compatibility issues with certificates for IP addresses unless the IP address is in both the commonName and subjectAltName fields. This is due to legacy SSL implementations which are not aligned with RFC 5280, notably, Windows OS prior to Windows 10.
Note: an earlier version of this answer stated that all IP address certificates would be revoked on 1 October 2016. Thanks to Navin for pointing out the error.
The answer I guess, is yes. Check this link for instance.
Issuing an SSL Certificate to a Public IP Address
An SSL certificate is typically issued to a Fully Qualified Domain Name (FQDN) such as «https://www.domain.com». However, some organizations need an SSL certificate issued to a public IP address. This option allows you to specify a public IP address as the Common Name in your Certificate Signing Request (CSR). The issued certificate can then be used to secure connections directly with the public IP address (e.g., https://123.456.78.99.).
Yep. Cloudflare uses it for its DNS instructions homepage: https://1.1.1.1
The C/A Browser forum sets what is and is not valid in a certificate, and what CA’s should reject.
Public IP addresses CAN be used (and the baseline requirements doc specifies what kinds of checks a CA must perform to ensure the applicant owns the IP).
Как разместить web приложение на ip-адресе без домена и получить на него ssl-сертификат?
Всем доброго времени суток,
есть необходимость размещения веб приложения на ip-адресе, без доменного имени, а так же выписать на него ssl-сертификат(скорее всего самоподписный).
Вопрос реально ли это сделать и если да, то каким образом я могу это сделать?
И как я смогу сделать на него самоподписный сертификат?
Заранее пошарился в гугле, особо ничего толкового не нашел. Буду рад любой помощи, от ссылок, до ответов!
Заранее всем спасибо!
fdroid, Читаем медитируем и делаем выводы
Can an SSL Certificate Be Issued For an IP Address?
The answer is ‘Yes.’ An SSL certificate can be issued for a public IP address.
These are the rules and requirements to get an SSL certificate for an IP address:
SSL can be issued for a public IP address.
Your organization must own that particular IP address. In other words, the IP address must be exclusively assigned to your organization (not to the web hosting company).
A certificate authority must be able to verify your IP ownership under an IP WHOIS lookup. Your organization’s name, physical address, phone number, and email id must be shown in the IP WHOIS lookup.
You must buy an Organization Validated (OV) SSL certificate to secure an IP address.
Documents Required: Check here.
Both OV Single domain and OV multi-domain SSL certificates can be used for an IP address.
You can write an IP address in the Common Name (CN) or a Subject Alternative Name (SAN) field (if you have chosen a multi-domain SSL).
All version of Windows will support the SSL if you specify the IP address as the Common Name (CN). Windows 8.1 and earlier versions will not support the SSL certificate if you specify an IP address as a Subject Alternative Name (SAN).
Поддержка SSL / HTTPS, выделенный IP, бесплатный SSL сертификат
Протокол HTTPS обеспечивает безопасную передачу данных в зашифрованном виде и удостоверение подлинности сервера. Для работы протокола используется SSL сертификат.
Работа сайта с SSL сертификатом показывает заботу владельца о безопасности посетителей и улучшает имидж ресурса.
Выделенный IP адрес для сайта
Услугу можно использовать для получения выделенного IP адреса для сайта, это может помочь в некоторых случаях, например, в SEO продвижении. В этом случае приобретать SSL сертификат не обязательно. Выделенный IP адрес работает только для входящих соединений. Если требуется выделенный IP для исходящих соединений, нужна услуга «VDS сервер».
SSL сертификат в подарок!
 Акция! | При заказе хостинга и регистрации нового домена мы дарим вам SSL сертификат бесплатно! Вам будет необходимо оплачивать только поддержку SSL / HTTPS (IP адрес включен), 100 рублей в месяц Сертификат выписывается на 1 год. Продление сертификата может оказаться платным (зависит от срока действия акции). Бесплатный сертификат можно использовать только для защиты сайта на нашем хостинге. В одном личном кабинете предоставляется один бесплатный сертификат. Заказ бесплатного сертификата должен происходить либо до, либо, самое позднее, спустя 7 дней после регистрации домена. | |
Как включить услугу SSL / HTTPS, свой IP и получить бесплатный сертификат
Через 1 год мы предупредим вас о необходимости продления SSL сертификата.
Получение SSL сертификата никак не привязывает ваш ресурс к площадке размещения. В том случае, если вы захотите сменить хостинг, вы можете либо забрать действующий SSL сертификат, либо получить новый уже на новом хостинге.
В том случае, если вы захотите забрать сертификат, выданный бесплатно по акции, вам придется оплатить цену его получения (720 рублей).
Как включить услугу SSL / HTTPS для VDS сервера
Мы можем выписать SSL сертификат на любой домен для последующего использования на вашем VDS сервере. На VDS сервере уже есть выделенный IP адрес, поэтому специальной дополнительной абонентской платы для поддержки адреса и HTTPS там не требуется.
Устанавливать SSL сертификат на VDS сервере вам нужно будет собственными силами. В принципе это не сложно, все популярные панели управления поддерживают работу с SSL, но вам придется заняться этим самостоятельно, в том числе, решать возможные проблемы в настройке. В том случае, если вам требуется решение по установке SSL без вашего участия, вы можете обратиться в платную поддержку.
Как включить услугу SSL / HTTPS для сертификата, который уже существует
Если у вас уже есть SSL сертификат, вы сможете использовать его на нашем хостинге. Для этого вам необходимо будет предоставить нам закрытый ключ сертификата и сам сертификат.
Для работы SSL / HTTPS необходимо включить соответствующую опцию в тарифном плане, а также убедиться, что тариф оплачен. После этого свяжитесь со службой поддержки для установки сертификата. В письме сразу присылайте сертификат, закрытый ключ к нему (либо без пароля, либо укажите пароль ключа), и промежуточные сертификаты (если есть, называется иногда bundle).
LiveStreet CMS
Платные расширения из каталога
Партнерский блог
Прямой эфир
Shelvin 2 сентября 2021, 16:52
sersar 5 апреля 2021, 18:22
lifecom 27 февраля 2021, 03:26
iVee 16 февраля 2021, 13:07
Doom74 5 февраля 2021, 09:03
Doom74 5 февраля 2021, 08:57
Работа!
Блоги
Использование IP адреса в SSL-сертификате
Некоторым пользователям требуется выпустить SSL-сертификат для IP адреса. В каких случаях это может понадобиться? Давайте рассмотрим.
Сертификат выпускается для IP адреса в случае, если при переходе на Ваш ресурс в адресной строчке Вы видите IP адрес в качестве URL.
Например, такой: 179.16.12.0/
В таком случае в момент генерации CSR запроса в поле CN (от англ. Common Name в переводе «общее имя», т.е. основное имя в сертификате) Вам необходимо указать непосредственно IP адрес:
CN = 179.16.12.0
Остальные поля в CSR запросе заполняются как обычно.
Но, к сожалению, выпустить такой сертификат Вы сможете не в каждом удостоверяющем центре.
Некоторые центры сертификации прекратили выпуск сертификатов, содержащих IP-адрес в сертификате вовсе.
Но несмотря на это, другие удостоверяющие центры, такие как Comodo, все еще выпускают подобные SSL-сертификаты.
IP адреса по своему типу могут быть как внешними, так и внутренними (приватными, локальными).
Согласно последним требованиям CA/B Forum удостоверяющие центры прекратят выпуск SSL-сертификатов, содержащих локальные имена и приватные IP-адреса, дата истечения которых 31 октября 2015 и позднее. Таким образом до октября 2014 еще можно выпускать однолетние сертификаты, содержащие подобные имена, в том числе приватные IP адреса также разрешены до этого момента.
Например, следующие диапазоны IP-адресов определены как приватные и не маршрутизируются по сети Интернет:
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255
Как правило, для выпуска локальных имен подходит не каждый SSL-сертификат. По этому вопросу лучше всего проконсультироваться в удостоверяющем центре или в его представительстве, ведь у некоторых пользователей возникает языковой барьер при общении с удостоверяющим центром напрямую, а также ряд бухгалтерских и других вопросов.
Одной из таких компаний является ЛидерТелеком – официальный партнер известных центров сертификации, первый и единственный в России и странах СНГ стратегический партнер Comodo, а также первый в РФ партнер Symantec, получивший специализацию Symantec WSS специалист.
