tls sirve que protocolo para ec2 certificado https dns ip-address ssl-certificate

https - sirve - ¿Es posible tener un certificado SSL para la dirección IP, no el nombre de dominio?



ssl wikipedia (3)

La respuesta corta es sí, siempre que sea una dirección IP pública.

No se permite la emisión de certificados a direcciones IP reservadas, y todos los certificados previamente emitidos a direcciones IP reservadas fueron revocados a partir del 1 de octubre de 2016.

De acuerdo con el foro de CA Browser, puede haber problemas de compatibilidad con los certificados de las direcciones IP a menos que la dirección IP esté en los campos commonName y commonName . Esto se debe a las implementaciones SSL heredadas que no están alineadas con RFC 5280, en particular, el sistema operativo Windows anterior a Windows 10.

Fuentes:

  1. Orientación sobre direcciones IP en certificados CA Browser Forum
  2. Requisitos de línea de base 1.4.1 Foro de navegador de CA
  3. El (pronto) nombre no tan común unmitigatedrisk.com
  4. RFC 5280 IETF

Nota: una versión anterior de esta respuesta establecía que todos los certificados de direcciones IP serían revocados el 1 de octubre de 2016. Gracias a Navin por señalar el error.

Quiero que mi sitio use URLs como http://2.2.2.2/ ... y https://2.2.2.2/ ... para que el contenido estático evite las cookies innecesarias a petición Y evite solicitudes DNS adicionales.

¿Hay alguna forma de obtener certificado SSL para este propósito?


La respuesta, supongo, es sí. Verifique este enlace, por ejemplo.

Emitir un certificado SSL a una dirección IP pública

Un certificado SSL normalmente se emite a un Nombre de dominio completo (FQDN) como " https://www.domain.com ". Sin embargo, algunas organizaciones necesitan un certificado SSL emitido a una dirección IP pública. Esta opción le permite especificar una dirección IP pública como el Nombre común en su Solicitud de firma de certificado (CSR). El certificado emitido se puede usar para proteger las conexiones directamente con la dirección IP pública (p. Ej., Https://123.456.78.99 ).


Según esta respuesta , es posible, pero rara vez se usa.

En cuanto a cómo obtenerlo: Tiendo a intentar simplemente pedir uno con el proveedor de su elección, e ingresar la dirección IP en lugar de un dominio durante el proceso de pedido.

Sin embargo, ejecutar un sitio en una dirección IP para evitar la búsqueda DNS suena terriblemente como una micro-optimización innecesaria para mí. Ahorrará unos pocos milisegundos en el mejor de los casos, y eso es por visita , ya que los resultados de DNS se almacenan en caché en múltiples niveles.

No creo que tu idea tenga sentido desde el punto de vista de la optimización.