SSL-сертификат для публичного IP-адреса?

Я только что попытался купить Comodo Positive SSL, но он был отклонен из-за того, что он не поддерживал публичный IP-адрес, а вместо этого они поддерживают только доменное имя.

Кто-нибудь знает поставщика SSL-сертификатов, который поддерживает публичный IP-адрес вместо доменного имени?

У моей компании есть выделенный сервер, размещенный в веб-хостинговой компании, который используется для запуска багтрекера для нескольких проектов (для нескольких клиентов). Поскольку он используется только для отслеживания ошибок, нам не нужно доменное имя (наши клиенты получают к нему доступ, набирая общедоступный IP-адрес в своем браузере).

Я думаю, что вы можете сделать это, но не так, как вы пытаетесь это сделать.

Сертификат SSL - это оператор, связывающий открытый ключ шифрования со структурой X.500, которая включает в себя элемент CN или Common Name; подписанный сертификат - это один из таких случаев, когда привязка проверяется проверяемым сторонним центром сертификации с использованием открытого ключа, уже известного конечным пользователям (тот стек сертификатов Центра сертификации (CA), который находится внутри вашего браузера).

При посещении веб-сайта, защищенного SSL, с помощью браузера подписанный CN становится известным браузеру. То, что браузер выбирает делать с этим, зависит от браузера. Браузеры, о которых я знаю, сравнивают его с запрошенным именем хоста, и выдают ошибку, если она отличается (или если эта сертифицированная привязка не подходит для анализа, например, сертификат подписи неизвестен браузеру или привязка устарела. на сегодняшний день, но это другой вопрос). Нет ничего, что в принципе мешает вам получить публично подписанный сертификат, где CN - это IP-адрес, а не FQDN (полное доменное имя) [1], но это не может волшебным образом заставить браузер сравнивать CN с IP адрес, а не с запрошенным именем хоста .

Я подозреваю, что самый простой способ решить вашу проблему - это запустить собственный ЦС, что легко сделать, и есть много общедоступных учебных пособий; один здесь . После того, как ваши конечные пользователи импортируют ваш CA в свои браузеры, все сертификаты, которые вы создаете, будут приняты как официальные.

Тогда у вас может возникнуть вторая проблема: вы хотите запускать множество сайтов NameVirtualHost на одном IP-адресе. Исторически это было непреодолимым, поскольку (в отличие от TLS) согласование SSL происходит раньше всего на соединении; то есть CN, встроенный в ваш сертификат, становится известным и используется клиентом, прежде чем клиент сможет сказать, к какому хосту он пытается подключиться.

Недавно появилось расширение протокола, называемое SNI (индикация имени сервера), которое позволяет клиенту и серверу указывать, что они хотели бы выполнить некоторые действия с именами хостов до представления SSL-сертификата, позволяя выбрать один из набора. сертификатов, которые будут предоставлены сервером. Очевидно, для этого требуется apache 2.2.10, достаточно свежая версия OpenSSL и (что важно ) поддержка на стороне клиента.

Поэтому, если бы мне пришлось делать то, что вы пытаетесь сделать, я бы смотрел на создание собственного сертификата CA, сообщая моим конечным пользователям, что они должны использовать браузеры, поддерживающие SNI, и импортируя мой корневой сертификат CA, а также вырезая и подписывать свои собственные сертификаты SSL для каждого сайта багтрек.

[1] Хорошо, возможно, вы не нашли никого, кто это сделает, но это деталь реализации. Здесь я пытаюсь показать, что даже если бы вы это сделали, это не решило бы вашу проблему.

Я знаю один корневой центр сертификации, который предварительно заполнен всеми основными браузерами и выдает сертификаты SSL на общедоступных IP-адресах: взгляните на GlobalSign . Они считывают информацию RIPE для подтверждения вашего запроса на сертификат, поэтому вы можете сначала проверить, что запись RIPE выдана с правильным именем.

Что касается обратной связи, эта запись получила:

Да , предпочтительнее купить доменное имя и выдать SSL-сертификат на этом CN. Это также дешевле, чем опция GlobalSign выше.

Но бывают случаи, когда SSL-сертификаты с публичным IP-адресом в качестве CN полезны. Многие интернет-провайдеры и правительства блокируют нежелательные сайты на основе инфраструктуры DNS. Если вы предлагаете какой-либо сайт, который может быть заблокирован, например, по политическим причинам, это хороший вариант, чтобы этот сайт был доступен через его публичный IP-адрес. В то же время, вы будете хотеть , чтобы зашифровать трафик для тех пользователей , и вы не хотите , чтобы пользователи не-технологий , чтобы пройти через хлопоты щелчка через исключение безопасности предупреждения браузера (так как CN сертификата не соответствует фактический вошел). Заставить их установить свой собственный Root CA еще сложнее и нереально.

Идите и купите доменное имя. Они дешевые, не будь дешевле. Вам нужен только один. Может быть, даже просто настроить bugtracker.yourcompany.com.

Затем для каждого средства отслеживания ошибок установите поддомен для этого имени. Получите сертификат SSL для каждого из этих поддоменов. Так как вы, кажется, не имеете особых затрат, компания, с которой вы хотите иметь дело, называется StartSSL.

http://www.startssl.com/

Причина, по которой вы хотите их использовать, заключается в том, что (помимо доверия со стороны основных браузеров) их сертификаты не стоят руки и ноги. Честно говоря, самый базовый вид сертификата действительно без всякого дерьма. Они проверяют вашу личность, а затем позволяют выдавать столько, сколько вам нужно. Если вам нужны более интересные сертификаты (которые обычно стоят несколько сотен долларов), вы рассчитываете на 50 долларов в течение 2 лет для поддержки SSL для нескольких доменов на одном IP.

Они супер дешевые за то, что вы получаете. Они выдают настоящие сертификаты, которым доверяют браузеры ваших клиентов, а не 90-дневные испытания, как в других местах.