此前免費數字證書頒發機構 Let’s Encrypt 已經發布預告稱將會提供基於純 IP 地址的數字證書,現在這種純 IP 地址數字證書已經開始內部測試,暫時各位還無法直接申請需要等待後續的開放。
目前市場上確實有證書頒發機構提供基於 IP 地址的數字證書,但這類證書通常價格都非常高主要適用於企業,所以 Let’s Encrypt 將打破這種壟斷為開發者和 IT 管理員提供免費選擇。
不過需要注意的是免費基於 IP 的數字證書有效期只有 6 天,這是基於安全性考慮的,因為公網 IP 可能經常會因為伺服器的開通或銷燬而發生變化,如果提供長期數字證書的話將存在冒充的風險。
當然如此短的有效期靠手動申請和續簽是不現實的,Let’s Encrypt 將為 IT 管理員提供自動化申請和部署措施,這樣只要 IP 確實屬於你在使用那就可以一直申請和續簽 IP 證書。
Let’s Encrypt 支援的 IP 地址證書基於 SAN,SAN 指的是主題備用名稱,正常情況下數字證書有個通用名稱用來指示主域名,一個數字證書也可以用於多個域名,而多出來的域名就會放在 SAN 欄位中。
而基於 SAN 特性頒發的 IP 地址證書只有 SAN 也就是主題備用名稱,沒有通用名稱,IP SAN 證書也同樣支援多個域名,例如 Let’s Encrypt 測試的例子中就綁定了多個域名。
壞訊息是暫時還沒有明確的上線時間表,所以暫時各位只能繼續使用基於域名的數字證書,等到 Let’s Encrypt 釋出純 IP 證書後,配合 IP 龐大的地址段使用、完全不用域名也是可以的。
證書情況請看:https://crt.sh/?id=18590116184
