ใบรับรอง SSL สำหรับที่อยู่ IP สาธารณะหรือไม่

ฉันเพิ่งลองซื้อ Comodo Positive SSL แต่ถูกปฏิเสธเนื่องจากไม่สนับสนุนที่อยู่ IP สาธารณะ แต่แทนที่จะสนับสนุนชื่อโดเมนเท่านั้น

ไม่มีใครรู้จักผู้ให้บริการใบรับรอง SSL ที่สนับสนุนที่อยู่ IP สาธารณะแทนชื่อโดเมนหรือไม่

บริษัท ของฉันมีเซิร์ฟเวอร์เฉพาะที่โฮสต์กับ บริษัท เว็บโฮสติ้งซึ่งใช้สำหรับเรียกใช้ตัวติดตามบั๊กสำหรับโครงการหลายโครงการ (สำหรับลูกค้าหลายราย) เนื่องจากใช้สำหรับนักติดตามบั๊กเราจึงไม่ต้องการชื่อโดเมน (ลูกค้าของเราเข้าถึงได้โดยพิมพ์ IP สาธารณะในเบราว์เซอร์)

ฉันคิดว่าคุณสามารถทำได้ แต่ไม่ใช่วิธีที่คุณพยายามทำ

ใบรับรอง SSL เป็นคำสั่งที่เชื่อมโยงคีย์การเข้ารหัสสาธารณะกับโครงสร้าง X.500 ซึ่งรวมถึงองค์ประกอบ CN หรือชื่อสามัญ ใบรับรองที่ลงนามนั้นเป็นสิ่งที่ผู้ใช้รับรองบุคคลที่สามได้รับการรับรองการผูกมัดโดยใช้กุญแจสาธารณะที่ผู้ใช้ปลายทางรู้จักแล้ว (สแต็กของใบรับรองผู้ออกใบรับรอง (CA) ที่อาศัยอยู่ในเบราว์เซอร์ของคุณ)

เมื่อคุณเยี่ยมชมเว็บไซต์ที่มีการรักษาความปลอดภัย SSL ด้วยเบราว์เซอร์ CN ที่เซ็นชื่อจะถูกรู้จักในเบราว์เซอร์ สิ่งที่เบราว์เซอร์เลือกใช้จะขึ้นอยู่กับเบราว์เซอร์ เบราว์เซอร์ที่ฉันทราบจะเปรียบเทียบกับชื่อโฮสต์ที่ขอและข้อผิดพลาดหากแตกต่างกัน (หรือหากการเชื่อมโยงที่ได้รับการรับรองนั้นไม่สามารถทำการวิเคราะห์ได้เช่นใบรับรองการเซ็นชื่อไม่รู้จักกับเบราว์เซอร์ ล้าสมัย แต่นั่นเป็นปัญหาที่ต่างออกไป) ตามหลักการแล้วไม่มีอะไรขัดขวางคุณจากการได้รับใบรับรองที่ลงนามต่อสาธารณชนโดยที่ CN คือที่อยู่ IP ไม่ใช่ FQDN (ชื่อโดเมนที่ผ่านการรับรอง) [1] แต่นั่นจะไม่ทำให้เบราว์เซอร์เปรียบเทียบ CN กับ IP อย่างน่าอัศจรรย์ ที่อยู่แทนด้วยชื่อโฮสต์ที่ร้องขอ

ฉันสงสัยว่าวิธีที่ง่ายที่สุดในการแก้ปัญหาของคุณคือการเริ่มต้น CA ของคุณเองซึ่งเป็นเรื่องง่ายที่จะทำและมีบทเรียนสาธารณะมากมายเกี่ยวกับ หนึ่งคือที่นี่ เมื่อผู้ใช้ปลายทางของคุณนำเข้า CA ของคุณไปยังเบราว์เซอร์ใบรับรองทั้งหมดที่คุณทำจะได้รับการยอมรับว่ามีสิทธิ์

จากนั้นคุณอาจมีปัญหาที่สองที่คุณต้องการเรียกใช้เว็บไซต์ NameVirtualHost จำนวนมากบนที่อยู่ IP เดียว สิ่งนี้เคยเป็นอดีตที่ผ่านมาไม่ได้เนื่องจากการเจรจา SSL (ต่างจาก TLS) เกิดขึ้นก่อนสิ่งอื่นใดในการเชื่อมต่อ กล่าวคือ CN ที่ฝังตัวอยู่ในใบรับรองของคุณเป็นที่รู้จักและใช้โดยลูกค้าก่อนที่ลูกค้าจะสามารถพูดได้ว่าโฮสต์ใดที่พวกเขากำลังพยายามเชื่อมต่อ

เมื่อเร็ว ๆ นี้มีการแนะนำส่วนขยายโปรโตคอลที่ชื่อ SNI (บ่งชี้ชื่อเซิร์ฟเวอร์) ซึ่งช่วยให้ไคลเอนต์และเซิร์ฟเวอร์ระบุว่าพวกเขาต้องการทำสิ่งที่ชื่อโฮสต์ก่อนที่จะนำเสนอใบรับรอง SSL ทำให้ถูกต้องหนึ่งชุด ของใบรับรองที่จะได้รับจากเซิร์ฟเวอร์ เห็นได้ชัดว่าสิ่งนี้ต้องการ apache 2.2.10 เวอร์ชันล่าสุดของ OpenSSL ที่เพียงพอและการสนับสนุนฝั่งไคลเอ็นต์(ที่สำคัญ )

ดังนั้นถ้าฉันต้องทำสิ่งที่คุณพยายามจะทำฉันจะดูการทำใบรับรอง CA ของตัวเองบอกผู้ใช้ของฉันว่าพวกเขาต้องใช้เบราว์เซอร์ที่สนับสนุน SNI และนำเข้าใบรับรอง CA หลักของฉันและตัดและ การลงนามใบรับรอง SSL ของฉันเองสำหรับแต่ละเว็บไซต์ Bugtrack

[1] โอเคคุณอาจไม่พบใครที่จะทำ แต่นั่นคือรายละเอียดการใช้งาน สิ่งที่ฉันพยายามแสดงที่นี่คือแม้ว่าคุณทำมันจะไม่แก้ปัญหาของคุณ

มีอยู่คนหนึ่ง Root Certificate Authority ฉันรู้ว่ามันเป็นก่อนมีประชากรที่มีเบราว์เซอร์ทั้งหมดที่สำคัญและปัญหาใบรับรอง SSL ที่อยู่ IP สาธารณะ: ดูที่GlobalSign พวกเขาอ่านข้อมูล RIPE เพื่อตรวจสอบการร้องขอใบรับรองของคุณดังนั้นคุณอาจต้องการตรวจสอบก่อนว่ารายการ RIPE ออกในชื่อที่ถูกต้อง

เกี่ยวกับข้อเสนอแนะรายการนี้ได้รับ:

ใช่มันจะดีกว่าถ้าซื้อชื่อโดเมนและออกใบรับรอง SSL ใน CN นั้น นอกจากนี้ยังแพงน้อยกว่าตัวเลือก GlobalSign ด้านบน

แต่มีหลายกรณีที่ใบรับรอง SSL ที่มี IP สาธารณะเนื่องจาก CN มีประโยชน์ ผู้ให้บริการอินเทอร์เน็ตและรัฐบาลหลายรายบล็อกเว็บไซต์ที่ไม่ต้องการโดยใช้โครงสร้างพื้นฐาน DNS หากคุณเสนอไซต์บางประเภทที่น่าจะถูกปิดกั้นเช่นด้วยเหตุผลทางการเมืองเป็นตัวเลือกที่ดีในการเข้าถึงเว็บไซต์นี้ผ่านที่อยู่ IP สาธารณะ ในเวลาเดียวกันคุณจะต้องการเข้ารหัสปริมาณการใช้งานสำหรับผู้ใช้เหล่านั้นและคุณไม่ต้องการให้ผู้ใช้ที่ไม่ใช่ผู้ใช้เทคโนโลยีต้องผ่านความยุ่งยากในการคลิกผ่านคำเตือนการรักษาความปลอดภัยข้อยกเว้นของเบราว์เซอร์ (เพราะ CN ของใบรับรองไม่ตรงกัน ของจริงเข้ามา) การทำให้พวกเขาติดตั้ง Root CA ของคุณเองเป็นเรื่องที่ยุ่งยากและไม่สมจริง

ไปข้างหน้าและซื้อชื่อโดเมน พวกเขาถูกไม่ต้องถูกกว่านั้น คุณต้องการเพียงหนึ่ง อาจเป็นเพียงแค่ตั้งค่า bugtracker.yourcompany.com

จากนั้นสำหรับตัวติดตามแต่ละตัวให้ตั้งค่าโดเมนย่อยสำหรับชื่อนั้น รับใบรับรอง SSL สำหรับแต่ละโดเมนย่อยเหล่านั้น เนื่องจากคุณไม่ชอบต้นทุนเป็นพิเศษ บริษัท ที่คุณต้องการทำธุรกิจจึงมีชื่อว่า StartSSL

http://www.startssl.com/

เหตุผลที่คุณต้องการใช้เนื่องจาก (นอกเหนือจากการได้รับความไว้วางใจจากเบราว์เซอร์หลัก) ใบรับรองของพวกเขาจะไม่เสียค่าใช้จ่ายแขนและขา ประเภทของใบรับรองขั้นพื้นฐานที่สุดคือจริงๆแล้วสุจริตไม่มีอึฟรี พวกเขาตรวจสอบตัวตนของคุณแล้วให้คุณออกมากเท่าที่คุณต้องการ หากคุณต้องการใบรับรองนักเล่น (โดยปกติจะมีราคาหลายร้อยเหรียญ) คุณกำลังดูอยู่ที่ประมาณ $ 50 เป็นเวลา 2 ปีเพื่อรองรับ SSL สำหรับหลายโดเมนใน IP เดียว

พวกเขาราคาถูกสุด ๆ สำหรับสิ่งที่คุณได้รับ พวกเขาออกใบรับรองจริงที่เชื่อถือได้โดยเบราว์เซอร์ลูกค้าของคุณและไม่ใช่การทดลอง 90 วันเหมือนกับที่อื่น ๆ