有可能有IP地址的SSL证书,而不是域名?

我希望我的网站使用像http://2.2.2.2/ …和https://2.2.2.2/ …这样的url作为静态内容,以避免请求中不必要的Cookie,并避免额外的DNS请求。

有什么办法可以获得SSL证书吗?

根据这个答案 ,这是可能的,但很less使用。

至于如何得到它:我倾向于只是尝试与您所select的提供商订购一个,并在订购过程中inputIP地址,而不是域。

但是,在IP地址上运行一个站点以避免DNS查询听起来就像是对我不必要的微观优化。 由于DNS结果caching在多个级别上,因此您最多可以节省几毫秒,这是每次访问的时间。

我不认为你的想法从最优化的观点来看是有意义的。

简单的答案是肯定的,只要它是一个公共IP地址即可。

不允许向保留的IP地址发放证书,并且从2016年10月1日起,所有先前发放给保留IP地址的证书都被撤销。

根据CA Browser论坛,IP地址证书可能存在兼容性问题,除非IP地址同时在commonName和subjectAltName字段中。 这是由于传统的SSL实现不符合RFC 5280,尤其是Windows 10之前的Windows操作系统。


资料来源:

  1. 证书 CA浏览器论坛中的IP地址指南
  2. 基准要求1.4.1 CA浏览器论坛
  3. (很快会成为)不那么通用的名称 unmitigatedrisk.com
  4. RFC 5280 IETF

注意:此答案的早期版本声明,所有IP地址证书将于2016年10月1日撤销。感谢Navin指出错误。

我想,答案是肯定的。 例如检查这个链接 。

向公用IP地址发放SSL证书

SSL证书通常发布到完全限定的域名(FQDN),如“ https://www.domain.com ”。 但是,有些组织需要颁发给公共IP地址的SSL证书。 此选项允许您在证书签名请求(CSR)中指定公用IP地址作为公用名称。 然后可以使用颁发的证书来保护与公共IP地址的直接连接(例如https://123.456.78.99 )。

一个由臭名昭着的中国CA发布的实例(截至2017-03-15)

https://110.249.218.86:9443/wszf/

这是可能的,但大多数证书提供者已经不会允许这种做法。

总之,这个政策增加了安全性。 由于内部服务器名称不是唯一的,所以它们很容易受到中间人(MITM)攻击。 在MITM攻击中,攻击者使用真实证书或重复证书的副本来截获和重新传输消息。 由于CA为相同的内部名称颁发多个证书,攻击者可以提出重复证书的有效请求并将其用于MITM。

GoDaddy的解释