¿Es posible adquirir un Certificado SSL para una dirección IP estática que no está registrada en un nombre de dominio y hay algún problema que pueda surgir?
¿Es posible adquirir un Certificado SSL para una dirección IP estática que no está registrada en un nombre de dominio y hay algún problema que pueda surgir?
El problema principal con un certificado para una dirección IP estática es que puede que no funcione en absoluto. Normas relevantes ( RFC 2818 , RFC 6125 ) solo habla de nombres de DNS , no de direcciones IP.
En su mayoría, hay dos formas en las que se puede almacenar una dirección IP en un sujeto Alt Name : ya sea directamente debajo de su tipo ASN.1 normal ( iPAddress , OCTET STRING de la longitud 4 o 16, dependiendo de si está hablando de IPv4 o IPv6), o como dNSName al convertir la dirección a su representación de puntos decimales (como en "1.2.3.4", una secuencia de siete caracteres para codificar una dirección IP de 4 bytes). Escuché, pero no me verifiqué, que algunas versiones que Internet Explorer aceptaría para coincidir con el segundo tipo de representación como si fuera un nombre, pero no todos los navegadores lo harían. Es probable que el formato iPAddress sea completamente ignorado por los clientes.
La CA comercial habitual no aceptará codificar las direcciones IP en los certificados, en particular porque no pueden garantizar que la dirección IP es suya y seguirá siendo suya, independientemente de lo firmemente que la crea.
Al menos es aparentemente posible obtener dicho certificado para una dirección IP que tiene un dominio registrado: enlace .
Signature Algorithm: ecdsa-with-SHA256
Issuer: C=US, O=DigiCert Inc, CN=DigiCert ECC Secure Server CA
Subject: C=US, ST=CA, L=San Francisco, O=Cloudflare, Inc., CN=*.cloudflare-dns.com
X509v3 Subject Alternative Name:
DNS:*.cloudflare-dns.com, IP Address:1.1.1.1, IP Address:1.0.0.1, DNS:cloudflare-dns.com, IP Address:2606:4700:4700:0:0:0:0:1111, IP Address:2606:4700:4700:0:0:0:0:1001
Como puede ver, cuatro direcciones IP (dos de la familia de direcciones IPv4 y otras dos de la única IPv6) están codificadas en el campo Nombre alternativo del sujeto como valores de tipo iPAddress ASN.1. Resulta que en 2018 la mayoría de los navegadores son capaces de entender esto.
Aún no está claro qué políticas sugieren CA / Browser Forum para tal caso. La tradicional política implica que hay un dominio, no una dirección IP, escrito en un certificado. Además, si alguna información en un certificado se vuelve incorrecta o inexacta debe ser revocado . Se espera que una autoridad de certificación tradicional rastree la propiedad del nombre de dominio, sin embargo, la transición de la dirección IP es otra historia: hay no existe tal cosa como una dirección IP" propietario ", y las fuentes de datos para el uso de la red IP no son las mismas que en el mundo DNS, por lo que es mucho más complicado .
Lea otras preguntas en las etiquetas tls certificates