Certyfikat SSL dla publicznego adresu IP?

Właśnie próbowałem kupić Comodo Positive SSL, ale zostało odrzucone z powodu braku obsługi publicznego adresu IP, ale zamiast tego obsługują tylko nazwę domeny.

Czy ktoś zna jakiegoś dostawcę certyfikatu SSL, który obsługuje publiczny adres IP zamiast nazwy domeny?

Moja firma ma dedykowany serwer obsługiwany przez firmę hostingową, która służy do uruchamiania narzędzia do śledzenia błędów dla wielu projektów (dla wielu klientów). Ponieważ jest używany tylko do śledzenia błędów, nie potrzebujemy nazwy domeny (nasi klienci uzyskują do niej dostęp, wpisując publiczny adres IP w przeglądarce).

Myślę, że możesz to zrobić, ale nie w taki sposób, w jaki próbujesz to zrobić.

Certyfikat SSL to instrukcja wiążąca publiczny klucz szyfrowania ze strukturą X.500, która zawiera element CN lub Common Name; podpisany certyfikat to taki, w którym powiązanie jest weryfikowane w sposób wiarygodny przez zewnętrzny urząd certyfikacji, przy użyciu klucza publicznego znanego już użytkownikom końcowym (stos certyfikatów urzędu certyfikacji (CA) znajdujących się w przeglądarce).

Gdy odwiedzasz witrynę internetową zabezpieczoną protokołem SSL za pomocą przeglądarki, podpisany kod CN jest przekazywany do przeglądarki. To, co wybierze przeglądarka, zależy od przeglądarki. Przeglądarki, które znam, porównują je z żądaną nazwą hosta i popełniają błąd, jeśli jest inny (lub jeśli to uwierzytelnione powiązanie nie wytrzymuje analizy, np. Certyfikat podpisywania nie jest znany przeglądarce lub powiązanie jest poza daty, ale to inny problem). Nic nie stoi na przeszkodzie, aby uzyskać publicznie podpisany certyfikat, w którym CN to adres IP, a nie FQDN (w pełni kwalifikowana nazwa domeny) [1], ale to nie magicznie zmusi przeglądarki do porównania CN z IP adres zamiast żądanej nazwy hosta .

Podejrzewam, że najprostszym sposobem rozwiązania problemu jest założenie własnego urzędu certyfikacji, co jest łatwe do zrobienia i istnieje wiele publicznych samouczków na temat; jeden jest tutaj . Gdy użytkownicy końcowi zaimportują urząd certyfikacji do swoich przeglądarek, wszystkie wybrane przez Ciebie certyfikaty zostaną zaakceptowane jako wiarygodne.

Możesz wtedy mieć drugi problem polegający na tym, że chcesz uruchomić wiele witryn NameVirtualHost na jednym adresie IP. Historycznie było to nie do pokonania, ponieważ (w przeciwieństwie do TLS) negocjacje SSL odbywają się zanim cokolwiek innego na połączeniu; oznacza to, że CN osadzony w certyfikacie jest znany klientowi i używany przez niego, zanim klient będzie w stanie powiedzieć z jakim hostem próbuje się połączyć.

Ostatnio wydaje się, że wprowadzono rozszerzenie protokołu o nazwie SNI (Server Name Indication), które pozwala klientowi i serwerowi wskazać, że chcieliby zrobić pewne nazwy hosta przed przedstawieniem certyfikatu SSL, pozwalając na właściwy zestaw certyfikatów wydawanych przez serwer. Najwyraźniej wymaga to Apache 2.2.10, wystarczająco nowej wersji OpenSSL i (co ważne ) wsparcia po stronie klienta.

Więc gdybym musiał zrobić to, co próbujesz zrobić, zastanowiłbym się nad wybiciem własnego certyfikatu urzędu certyfikacji, mówiącym użytkownikom końcowym, że muszą korzystać z przeglądarek obsługujących SNI i importować mój certyfikat główny urzędu certyfikacji, a także wycinanie i podpisywanie własnych certyfikatów SSL dla każdej strony z błędami.

[1] OK, być może nie znalazłeś nikogo, kto by to zrobił, ale to szczegół implementacji. Próbuję tu pokazać, że nawet gdybyś to zrobił, nie rozwiązałoby to twojego problemu.

Jest jeden główny urząd certyfikacji, o którym wiem, że jest wstępnie wypełniony wszystkimi głównymi przeglądarkami i wystawia certyfikaty SSL na publiczne adresy IP: spójrz na GlobalSign . Odczytują informacje RIPE, aby zweryfikować twoje żądanie certyfikatu, więc możesz najpierw sprawdzić, czy wpis RIPE został wydany pod poprawną nazwą.

Jeśli chodzi o opinie, ten wpis otrzymał:

Tak , lepiej kupić nazwę domeny i wystawić certyfikat SSL w tym CN. Jest także tańszy niż powyższa opcja GlobalSign.

Jednak istnieją przypadki, w których certyfikaty SSL z przewozem publicznego IP, co CN są użyteczne. Wielu dostawców Internetu i rządów blokuje niechciane strony w oparciu o infrastrukturę DNS. Jeśli oferujesz jakąś stronę, która może zostać zablokowana, na przykład z powodów politycznych, dobrze jest mieć dostęp do tej witryny za pośrednictwem jej publicznego adresu IP. Jednocześnie będziesz chciał zaszyfrować ruch dla tych użytkowników i nie chcesz, aby użytkownicy niebędący specjalistami przechodzili przez kłopot z klikaniem ostrzeżeń dotyczących wyjątków bezpieczeństwa w swojej przeglądarce (ponieważ CN certyfikatu nie jest zgodny faktycznie wprowadzony). Zmuszenie ich do zainstalowania własnego Root CA jest jeszcze bardziej kłopotliwe i nierealne.

Śmiało i kup nazwę domeny. Są tanie, nie bądź tańszy niż to. Potrzebujesz tylko jednego. Może nawet skonfigurujesz bugtracker.twojafirma.com.

Następnie dla każdego robaka błędów skonfiguruj poddomenę dla tej nazwy. Uzyskaj certyfikat SSL dla każdej z tych subdomen. Ponieważ wydajesz się szczególnie niechętny kosztom, firma, z którą chcesz robić interesy, nazywa się StartSSL.

http://www.startssl.com/

Powodem, dla którego chcesz ich używać, jest to, że (oprócz zaufania głównych przeglądarek) ich certyfikaty nie kosztują ręki i nogi. Najbardziej podstawowy rodzaj certyfikatu jest naprawdę, szczerze mówiąc, wolny od gówna. Sprawdzają twoją tożsamość, a następnie pozwalają wydać tyle, ile potrzebujesz. Jeśli chcesz bardziej wyszukanych certyfikatów (które zwykle kosztują kilkaset dolarów), szukasz około 50 USD na 2 lata na obsługę SSL dla wielu domen w jednym adresie IP.

Są super tanie za to, co dostajesz. Wydają prawdziwe certyfikaty, którym ufają przeglądarki Twoich klientów, a nie 90-dniowe wersje próbne, jak inne miejsca.