Je veux que mon site utilise des URLs comme http://192.0.2.2/... y https://192.0.2.2/... pour le contenu statique afin d'éviter les cookies inutiles dans la demande ET d'éviter une demande DNS supplémentaire.
Existe-t-il un moyen d'obtenir un certificat SSL à cette fin ?
Cela dépend entièrement de l'autorité de certification qui émet le certificat.
En ce qui concerne Let's Encrypt CA, ils n'émettent pas de certificat TLS sur des adresses IP publiques. https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082
Pour connaître votre autorité de certification, vous pouvez exécuter la commande suivante et rechercher une entrée marquée ci-dessous.
curl -v -u <username>:<password> "https://IPaddress/.."
Le forum C/A Browser définit ce qui est et n'est pas valable dans un certificat, et ce que les CA doivent rejeter.
Selon leur Exigences de base pour le délivrance et la gestion des certificats certificats de confiance publics Les adresses IP réservées sont des adresses IP que l'IANA a répertoriées comme étant réservées - ce qui inclut toutes les IP NAT - et les noms internes sont tous les noms qui ne sont pas résolus sur le DNS public.
Les adresses IP publiques PEUVENT être utilisées (et le document sur les exigences de base précise les types de vérifications qu'une AC doit effectuer pour s'assurer que le demandeur est propriétaire de l'IP).
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
4 votes
Cette question peut être intéressant : vous pouvez mais l'adresse IP doit être dans une entrée SAN de type adresse IP, pas dans le CN du DN sujet.
39 votes
LetsEncrypt ne le fait pas. """" x.x.x.x est une adresse IP. L'autorité de certification de Let's Encrypt ne délivrera pas de certificats pour une adresse IP nue."""
2 votes
Le Forum des navigateurs C/A fournit un ensemble de politiques d'émission. Elle est évidemment suivie par les navigateurs. L'AC/B n'autorise plus les adresses IP. Un autre ensemble de politiques de délivrance est maintenu par l'IETF. L'ICP de l'IETF s'appelle PKIX. PKIX autorise les adresses IP. PKIX est suivi par la plupart des logiciels [libres ?], comme cURL et Wget. Je n'arrive pas à comprendre le cert de 1.1.1.1 . Il devrait être interdit selon les politiques de l'AC/B. Peut-être que l'AC/B a changé ses politiques.
5 votes
@jww : comme plusieurs réponses le disent correctement, CABforum interdit Réservé Adresses IP -- principalement les plages privées dans RFC1918 et RFC6598 plus quelques autres comme 127 pour localhost et les exemples dans la documentation. Ils permettent explicitement Public Adresses IP ; voir BR 3.2.2.5.