此前免费数字证书颁发机构 Let’s Encrypt 已经发布预告称将会提供基于纯 IP 地址的数字证书,现在这种纯 IP 地址数字证书已经开始内部测试,暂时各位还无法直接申请需要等待后续的开放。
目前市场上确实有证书颁发机构提供基于 IP 地址的数字证书,但这类证书通常价格都非常高主要适用于企业,所以 Let’s Encrypt 将打破这种垄断为开发者和 IT 管理员提供免费选择。
不过需要注意的是免费基于 IP 的数字证书有效期只有 6 天,这是基于安全性考虑的,因为公网 IP 可能经常会因为服务器的开通或销毁而发生变化,如果提供长期数字证书的话将存在冒充的风险。
当然如此短的有效期靠手动申请和续签是不现实的,Let’s Encrypt 将为 IT 管理员提供自动化申请和部署措施,这样只要 IP 确实属于你在使用那就可以一直申请和续签 IP 证书。
Let’s Encrypt 支持的 IP 地址证书基于 SAN,SAN 指的是主题备用名称,正常情况下数字证书有个通用名称用来指示主域名,一个数字证书也可以用于多个域名,而多出来的域名就会放在 SAN 字段中。
而基于 SAN 特性颁发的 IP 地址证书只有 SAN 也就是主题备用名称,没有通用名称,IP SAN 证书也同样支持多个域名,例如 Let’s Encrypt 测试的例子中就绑定了多个域名。
坏消息是暂时还没有明确的上线时间表,所以暂时各位只能继续使用基于域名的数字证书,等到 Let’s Encrypt 发布纯 IP 证书后,配合 IP 庞大的地址段使用、完全不用域名也是可以的。
证书情况请看:https://crt.sh/?id=18590116184
本文转自蓝点网公众号
没有回复内容