क्या आईपी पते के लिए एसएसएल प्रमाणपत्र होना संभव है, डोमेन नाम नहीं?

281

मैं अपनी साइट की तरह URL का उपयोग करना चाहते हैं http://192.0.2.2/...और https://192.0.2.2/...के लिए स्थैतिक सामग्री अनुरोध में अनावश्यक कुकीज़ से बचने और अतिरिक्त DNS अनुरोध से बचने के लिए।

क्या इस उद्देश्य के लिए एसएसएल प्रमाणपत्र प्राप्त करने का कोई तरीका है?

https  dns  ip-address  ssl-certificate 
Evgenyt
स्रोत
3
यह सवाल दिलचस्पी का हो सकता है: आप कर सकते हैं, लेकिन आईपी पते को आईपी पते प्रकार की SAN प्रविष्टि में होना चाहिए, विषय के डीएन के सीएन में नहीं।
ब्रूनो
14
LetsEncrypt ऐसा नहीं करता है। "" "" xxxx एक आईपी एड्रेस है। लेट्स एनक्रिप्ट सर्टिफिकेट अथॉरिटी एक नंगे आईपी एड्रेस के लिए सर्टिफिकेट जारी नहीं करेगी। ""
kommradHomer
1
C / A ब्राउज़र फ़ोरम जारी करने की नीतियों का एक सेट प्रदान करता है। जाहिर है, यह ब्राउज़र द्वारा पीछा किया जाता है। CA / B अब IP पते की अनुमति नहीं देता है। जारी करने की नीतियों का एक और सेट IETF द्वारा बनाए रखा जाता है। IETF के PKI को PKIX कहा जाता है। PKIX आईपी पते की अनुमति देता है। PKIX के बाद सबसे [free?] सॉफ्टवेयर है, जैसे cURL और Wget। मैं 1.1.1.1 के लिए प्रमाणपत्र का पता नहीं लगा सकता । सीए / बी नीतियों के अनुसार इसे मना किया जाना चाहिए। शायद सीए / बी ने अपनी नीतियों को बदल दिया।
jww

जवाबों:

169

इस उत्तर के अनुसार , यह संभव है, लेकिन शायद ही कभी इस्तेमाल किया जाता है।

इसे पाने के तरीके के रूप में: मैं बस अपनी पसंद के प्रदाता के साथ एक कोशिश और आदेश देना चाहता हूं, और आदेश देने की प्रक्रिया के दौरान एक डोमेन के बजाय आईपी पते दर्ज करें।

हालाँकि, DNS लुकअप ध्वनियों से बचने के लिए IP पते पर एक साइट चलाने से मुझे अनावश्यक माइक्रो-ऑप्टिमाइज़ेशन जैसा लगता है। आप कुछ मिलीसेकंड को सबसे अच्छे रूप से सहेजेंगे, और वह प्रति विज़िट है , क्योंकि DNS परिणाम कई स्तरों पर कैश किए जाते हैं।

मुझे नहीं लगता कि आपका विचार अनुकूलन दृष्टिकोण से समझ में आता है।

पेका
स्रोत
9
AFAIK, प्रति मिनट 1 समय (फ़ायरफ़ॉक्स DNS कैश) और IE के लिए 1 बार प्रति 30 मिनट। यह DNS रिकॉर्ड के TTL से अलग है। डोमेन पर निर्भर करता है और एनएस सर्वर (जो भी पहले हल किया जाना है :)) के आधार पर भी मेरे लिए लगभग 20ms लगते हैं, मैं प्रत्येक स्थिर अनुरोध के लिए अपनी लंबी कुकीज़ (मेरा विशेषाधिकार + Google Analytics कुकीज़) से बचना चाहता हूं। इसलिए अलग डोमेन खरीदने के बजाय IP का उपयोग करना अच्छा है। BTW, स्टैकओवरफ़्लो, बेसकम्फ स्टैटिक कंटेंट के लिए अलग डोमेन का इस्तेमाल करते हैं। इसके बजाय IP का उपयोग करना अनावश्यक DNS अनुरोधों को भी हटा देगा।
18
12
मैं कुकीज़ के साथ आपकी बात को पूरी तरह देखता हूँ, आप बिलकुल सही हैं। लेकिन DNS लुकअप के कुछ एमएस को बचाने के लिए एसएसएल आईपी पर स्विच करना मेरे लिए अधिक परेशानी की बात है क्योंकि यह इसके लायक है। साथ ही, यदि आपके पास कभी अपना प्रदाता बदलना हो, तो आपके पास अपने आईपी को ले जाने के मुद्दे हो सकते हैं - यह संभव नहीं है। एक डोमेन को स्थानांतरित करना बहुत आसान है, और इसके साथ एक प्रमाण पत्र को आसानी से आधा करना संभव है।
पेकाका
2
Google का पेज स्पीड टूल हमेशा "मुख्य संभव दस्तावेज़ (xxxx.com) के रूप में एक ही होस्ट से निम्नलिखित जावास्क्रिप्ट संसाधनों की सेवा करने, या यदि संभव हो तो इन संसाधनों को लोड करने का सुझाव देता है"। मैं पेज स्पीड टूल बाईबल के रूप में रेटिंग नहीं कर रहा हूँ, लेकिन वैसे भी इसका मतलब है कि DNS ऑप्टिमाइज़ेशन का आविष्कार मेरे द्वारा नहीं किया गया था। मैं अपने पेज की स्पीड चेकलिस्ट को संभव बनाने के लिए हरे रंग की कोशिश कर रहा हूं।
Evgenyt
11
@Evgenyt: मुझे नहीं लगता कि डीएनएस लुकअप के कारण, जो कहा गया है कि इतने सारे स्तरों पर कैश किया गया है कि यह एक प्रदर्शन मुद्दा नहीं हो सकता है। अधिक संभावना है कि यह ब्राउज़रों को उनके अनुरोधों को पूरा करने में सक्षम बनाता है। मेजबान को कनेक्शन खुला रखना, इस प्रकार अतिरिक्त कनेक्शन की स्थापना से बचना।
vdstw
5
मैं जवाब से सहमत हूं। साथ ही, हमें इस तरह के कॉन्फ़िगरेशन के साथ एक समस्या मिली। Android OS पर Chrome ब्राउज़र (39.0.2171.93), (4.0,5.0; 4.0,4 पर काम करता है), IP पते को प्रमाणपत्र लक्ष्य के रूप में उपयोग किए जाने पर HTTPS के माध्यम से ऑडियो फ़ाइलें नहीं चलाता है। हम अपने परीक्षण वातावरण के लिए ऐसे कॉन्फ़िगरेशन का उपयोग करते थे, लेकिन डोमेन नाम का उपयोग करना शुरू कर देंगे।
एनगैरिट
58

संक्षिप्त उत्तर हां है, जब तक कि यह एक सार्वजनिक आईपी पता है।

आरक्षित IP पते को प्रमाणपत्र जारी करने की अनुमति नहीं है, और पहले से आरक्षित IP पते को जारी किए गए सभी प्रमाणपत्र 1 अक्टूबर 2016 को निरस्त कर दिए गए थे।

CA ब्राउज़र फ़ोरम के अनुसार, IP पते के लिए प्रमाणपत्र के साथ संगतता समस्याएँ हो सकती हैं जब तक कि IP पता फ़ील्ड commonNameऔर subjectAltNameफ़ील्ड दोनों में न हो । यह लीगेसी एसएसएल कार्यान्वयन के कारण है जो कि आरएफसी 5280 के साथ संरेखित नहीं हैं, विशेष रूप से, विंडोज 10 से पहले विंडोज ओएस।

सूत्रों का कहना है:

  1. प्रमाणपत्र CA ब्राउज़र फ़ोरम में IP पते पर मार्गदर्शन
  2. बेसलाइन आवश्यकताएँ 1.4.1 सीए ब्राउज़र फोरम
  3. (जल्द ही) नहीं तो आम नाम unmitigatedrisk.com
  4. RFC 5280 IETF

नोट: इस उत्तर के एक पुराने संस्करण में कहा गया है कि सभी आईपी पते के प्रमाण पत्र 1 अक्टूबर 2016 को निरस्त कर दिए जाएंगे। त्रुटि को इंगित करने के लिए नवीन का धन्यवाद।

regdoug
स्रोत
5
यह सच नहीं है, गोला-बारूद अभी भी आईपी के लिए अंक जारी करता है। सर्टिफिकेट अथॉरिटी / ब्राउज़र फ़ोरम, निजी आईपी को सीट्स में देखना पसंद नहीं करता है, लेकिन सार्वजनिक आईपी के खिलाफ कुछ भी नहीं है।
नवीं
1
ऐसा लगता है कि मेरी जानकारी पुरानी हो सकती है। मैं इसे और अधिक देखूंगा और यदि आप सही हैं तो इसे संपादित करें।
regdoug
यह सच नहीं है, १.१.१.१ को देखें, उन्हें २०१ ९ में आईपी के लिए एक एसएसएल प्रमाणपत्र मिलता है और २०२१ के लिए डिजिर्ट से मान्य है
कांस्य पुरुष २
@ ब्रोनज़मैन जो एक सार्वजनिक आईपी पता है इसलिए, हाँ आप इसके लिए एक प्रमाण पत्र प्राप्त कर सकते हैं। केवल पते जो एक प्रमाण पत्र जारी नहीं किया जा सकता है en.wikipedia.org/wiki/Reserved_IP_addresses
regdoug
@ डस्टवॉल्फ, RFC 5280 के अनुसार, "जब subjectAltName एक्सटेंशन में iPAddress होता है, तो पते को" RFC791] में निर्दिष्ट "नेटवर्क बाइट ऑर्डर" में ओकटेट स्ट्रिंग में संग्रहित किया जाना चाहिए ... आईपी संस्करण 4 के लिए ...। ऑक्टेट स्ट्रिंग MUST में ठीक चार ऑक्टेट शामिल हैं। " संक्षेप में, आप
सब्जेक्टनाम
31

मुझे लगता है कि उत्तर, हां है। चेक इस लिंक उदाहरण के लिए।

एक सार्वजनिक आईपी पते के लिए एसएसएल प्रमाणपत्र जारी करना

एक SSL प्रमाणपत्र आमतौर पर पूरी तरह से योग्य डोमेन नाम (FQDN) जैसे " https://www.domain.com " को जारी किया जाता है। हालांकि, कुछ संगठनों को एक सार्वजनिक आईपी पते के लिए जारी एसएसएल प्रमाणपत्र की आवश्यकता होती है। यह विकल्प आपको सार्वजनिक आईपी पते को अपने प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) में सामान्य नाम के रूप में निर्दिष्ट करने की अनुमति देता है। तब जारी किए गए प्रमाण पत्र का उपयोग सीधे सार्वजनिक आईपी पते (जैसे, https://123.456.78.in ) के साथ कनेक्शन सुरक्षित करने के लिए किया जा सकता है ।

क्लाउस बाइसकोव पेडरसन
स्रोत
5
क्या यह स्थिर निजी आईपी के साथ भी काम करता है? एक लैन के लिए पसंद है?
मिस्टर बोंजोर
@Klaus Byskov पेडर्सन क्या आप कृपया मुझे ऐसा करने का संसाधन प्रदान कर सकते हैं?
रिहायशी
2
@ शिवसिंह कोई स्रोत? मुझे नहीं लगता कि कोई भी जाने-माने सीए निजी आईपी पते को प्रमाणपत्र जारी करेगा।
फ्रैंकलिन यू
22

हां। Cloudflare अपने DNS निर्देशों के मुखपृष्ठ के लिए इसका उपयोग करता है: https://1.1.1.1

mehulmpt
स्रोत
8
यह काफी ऐसा नहीं है जैसा लगता है। आप प्रमाणपत्र का निरीक्षण किया, तो Common Nameक्षेत्र है cloudflare-dns.comऔर 1.1.1.1केवल के अंतर्गत सूचीबद्ध है Certificate Subject Alt Name
बिटिनर
3
यदि कोई विषय वैकल्पिक नाम मौजूद है, तो @bitinerant आम नाम पर ध्यान नहीं दिया जाएगा । वास्तव में, सामान्य नाम पदावनत है और केवल SAN वास्तव में प्रासंगिक है।
योगू
3

C / A ब्राउज़र फ़ोरम वह सेट करता है जो किसी प्रमाणपत्र में मान्य नहीं है, और CA को क्या अस्वीकार करना चाहिए।

सार्वजनिक रूप से विश्वसनीय प्रमाणपत्र दस्तावेज़ के जारी करने और प्रबंधन के लिए उनकी आधारभूत आवश्यकताओं के अनुसार , सीए को 2015 से, प्रमाण पत्र जारी नहीं करना चाहिए जहां सामान्य नाम, या सामान्य वैकल्पिक नाम फ़ील्ड में एक आरक्षित आईपी या आंतरिक नाम होता है, जहां आरक्षित आईपी पते आईपी होते हैं। उस IANA को आरक्षित के रूप में सूचीबद्ध किया गया है - जिसमें सभी NAT IP शामिल हैं - और आंतरिक नाम कोई भी नाम हैं जो सार्वजनिक DNS पर हल नहीं होते हैं।

सार्वजनिक आईपी पते का उपयोग किया जा सकता है (और आधारभूत आवश्यकताएं निर्दिष्ट करती हैं कि आवेदक को आईपी का मालिक बनाने के लिए CA को किस प्रकार के चेक का प्रदर्शन करना चाहिए)।

क्रिस बेके
स्रोत
0

यह पूरी तरह से प्रमाण पत्र प्राधिकरण पर निर्भर करता है जो प्रमाण पत्र जारी करता है।

जहां तक ​​लेट्स एनक्रीस्ट सीए की बात है, वे सार्वजनिक आईपी पते पर टीएलएस प्रमाणपत्र जारी नहीं करेंगे। https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082

अपने प्रमाणपत्र प्राधिकारी को जानने के लिए, आप निम्नलिखित आदेश पर अमल कर सकते हैं और नीचे सूचीबद्ध प्रविष्टि की तलाश कर सकते हैं।

curl -v -u <username>:<password> "https://IPaddress/.."

यहां छवि विवरण दर्ज करें

शाहिद हुसैन
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.