Sertifikat SSL untuk alamat IP publik?

Saya baru saja mencoba membeli Comodo Positive SSL tetapi ditolak karena tidak mendukung alamat IP publik, tetapi mereka hanya mendukung nama domain.

Adakah yang tahu penyedia sertifikat SSL yang mendukung alamat IP publik alih-alih nama domain?

Perusahaan saya memiliki server khusus yang di-host dengan perusahaan hosting web, yang digunakan untuk menjalankan bugtracker untuk beberapa proyek (untuk banyak klien). Karena ini hanya digunakan untuk bugtracker, kami tidak memerlukan nama domain (klien kami mengaksesnya dengan mengetik IP publik di browser mereka).

Saya pikir Anda bisa melakukan ini, tetapi bukan cara Anda mencoba melakukannya.

Sertifikat SSL adalah pernyataan yang mengikat kunci enkripsi publik ke struktur X.500 yang mencakup elemen CN, atau Common Name; sertifikat yang ditandatangani adalah salah satu yang mengikatnya diverifikasi oleh otoritas sertifikasi pihak ketiga, menggunakan kunci publik yang sudah diketahui pengguna akhir (tumpukan sertifikat Otoritas Sertifikasi (CA) yang tinggal di dalam browser Anda).

Saat Anda mengunjungi situs web yang dilindungi SSL dengan browser, CN yang ditandatangani akan diketahui oleh browser. Apa yang browser pilih untuk lakukan adalah terserah browser. Peramban yang saya sadari membandingkannya dengan nama host yang diminta, dan kesalahan jika berbeda (atau jika penjilidan bersertifikasi itu tidak tahan terhadap analisis, misalnya sertifikat penandatanganan tidak dikenal ke peramban atau penjilidan keluar). of-date, tapi itu masalah yang berbeda). Tidak ada yang pada prinsipnya menghentikan Anda dari mendapatkan sertifikat yang ditandatangani secara publik di mana CN adalah alamat IP bukan FQDN (nama domain yang memenuhi syarat penuh) [1], tetapi itu tidak akan secara ajaib membuat browser membandingkan CN dengan IP dengan IP alamat, bukan dengan nama host yang diminta .

Saya menduga cara paling sederhana untuk menyelesaikan masalah Anda adalah dengan memulai CA Anda sendiri, yang mudah dilakukan, dan ada banyak tutorial umum tentang; satu di sini . Setelah pengguna akhir Anda mengimpor CA Anda ke browser mereka, semua sertifikat yang Anda mint akan diterima sebagai yang berwenang.

Anda mungkin memiliki masalah kedua karena Anda ingin menjalankan banyak situs NameVirtualHost pada satu alamat IP. Ini secara historis tidak dapat diatasi, karena (tidak seperti TLS) negosiasi SSL terjadi sebelum hal lain dalam suatu koneksi; yaitu, CN yang tertanam dalam sertifikat Anda diketahui, dan digunakan oleh, klien sebelum klien dapat mengatakan host apa yang mereka coba sambungkan.

Baru-baru ini, ekstensi protokol yang disebut SNI (Server Name Indication) tampaknya telah diperkenalkan, yang memungkinkan klien dan server untuk menunjukkan bahwa mereka ingin melakukan beberapa hal nama host sebelum sertifikat SSL disajikan, memungkinkan hak satu set sertifikat yang akan diberikan oleh server. Tampaknya ini membutuhkan apache 2.2.10, versi OpenSSL yang cukup baru, dan ( penting ) dukungan sisi klien.

Jadi jika saya harus melakukan apa yang Anda coba lakukan, saya akan melihat mencetak sertifikat CA saya sendiri, memberi tahu pengguna akhir saya bahwa mereka harus menggunakan browser yang mendukung SNI dan mengimpor sertifikat root CA saya, dan memotong dan menandatangani sertifikat SSL saya sendiri untuk setiap situs bugtrack.

[1] OK, Anda mungkin tidak menemukan orang yang akan melakukannya, tetapi itu adalah detail implementasinya. Apa yang saya coba tunjukkan di sini adalah bahwa bahkan jika Anda melakukannya, itu tidak akan menyelesaikan masalah Anda.

Ada satu Root Certificate Authority yang saya tahu yang sudah diisi sebelumnya dengan semua browser utama dan mengeluarkan sertifikat SSL pada alamat IP publik: lihat GlobalSign . Mereka membacakan informasi RIPE untuk memvalidasi permintaan sertifikat Anda, jadi Anda mungkin ingin memeriksa dulu bahwa entri RIPE dikeluarkan dengan nama yang benar.

Berkenaan dengan umpan balik, entri ini mendapatkan:

Ya , lebih baik untuk membeli nama domain dan mengeluarkan sertifikat SSL pada CN itu. Ini juga lebih murah daripada opsi GlobalSign di atas.

Tapi , ada kasus di mana sertifikat SSL dengan IP publik sebagai CN berguna. Banyak penyedia dan pemerintah internet memblokir situs yang tidak diinginkan berdasarkan infrastruktur DNS. Jika Anda menawarkan beberapa jenis situs yang kemungkinan besar akan diblokir, misalnya karena alasan politik, itu adalah pilihan yang baik untuk membuat situs ini dapat diakses melalui alamat IP publiknya. Pada saat yang sama, Anda akan ingin mengenkripsi lalu lintas untuk para pengguna tersebut dan Anda tidak ingin pengguna non-teknologi Anda melalui kerumitan mengklik melalui peringatan pengecualian keamanan browser mereka (karena CN sertifikat tidak cocok yang sebenarnya dimasukkan). Membuat mereka menginstal Root CA Anda sendiri bahkan lebih merepotkan dan tidak realistis.

Silakan membeli nama domain. Mereka murah, jangan lebih murah dari itu. Anda hanya butuh satu. Mungkin bahkan baru saja mengatur bugtracker.yourcompany.com.

Lalu untuk setiap bugtracker, siapkan subdomain untuk nama itu. Dapatkan sertifikat SSL untuk masing-masing subdomain tersebut. Karena Anda tampaknya sangat menolak biaya, perusahaan yang ingin Anda lakukan bisnisnya disebut StartSSL.

http://www.startssl.com/

Alasan Anda ingin menggunakannya adalah karena (selain dipercaya oleh browser utama) sertifikat mereka tidak dikenakan biaya lengan dan kaki. Jenis sertifikat paling dasar adalah benar-benar, jujur, bebas-sial. Mereka memverifikasi identitas Anda, kemudian membiarkan Anda mengeluarkan sebanyak yang Anda butuhkan. Jika Anda ingin sertifikat yang lebih bagus (yang biasanya berharga beberapa ratus dolar), Anda mencari sekitar $ 50 selama 2 tahun untuk mendukung SSL untuk banyak domain pada satu IP.

Mereka sangat murah untuk apa yang Anda dapatkan. Mereka mengeluarkan sertifikat nyata, dipercaya oleh browser klien Anda, dan bukan uji coba 90 hari seperti yang dilakukan tempat lain.