Những yêu cầu để cấp chứng chỉ SSL cho địa chỉ IP

Câu hỏi khá thường gặp: có thể cấp chứng chỉ SSL cho địa chỉ IP (không phải cho tên miền) không? Vâng, nó là có thể. Tuy nhiên, có một số yêu cầu:

  • Chỉ có chứng chỉ SSL OV có thể được cấp;
  • Công ty phải sở hữu địa chỉ IP (xác nhận dựa trên thông tin WHOIS về địa chỉ IP).

Cơ quan chứng nhận đáng tin cậy không cấp chứng chỉ DV SSL (có xác minh tên miền) cho địa chỉ IP; bởi vì nó tạo ra các mối đe dọa bảo mật nhất định (địa chỉ IP có thể không phải là duy nhất), cũng như, chúng không cấp chứng chỉ EV SSL cho địa chỉ IP do rủi ro bảo mật cao.

Để có chứng chỉ SSL được cấp cho một địa chỉ IP thay vì tên miền, nó cần được chỉ định trong trường thích hợp trong mẫu đơn đặt hàng.

Bộ điều chỉnh công nghiệp SSL CA / B Hướng dẫn diễn đàn để sử dụng địa chỉ IP

Diễn đàn CA / B, một cơ quan quản lý ngành SSL, đặt ra các yêu cầu sau về sử dụng địa chỉ IP trong chứng chỉ SSL:

  • Nếu chứng chỉ X.509 v.3 chứa địa chỉ IP, thì nó phải được bao gồm trong phần mở rộng SAN dưới dạng tên iPAddress (không phải dNSName).
  • Chứng chỉ có thể bao gồm nhiều địa chỉ IP 

Có một số vấn đề với việc xử lý iPAddress trong SAN trong Windows trước phiên bản 10. Để đối phó với các vấn đề này, bạn phải thêm địa chỉ IP vào trường commonName đã lỗi thời của chứng chỉ X.509 v.3. Nếu chứng chỉ chứa địa chỉ IP trong tiện ích mở rộng SAN với iPAddress và trong commonName, thì kiểm tra chứng chỉ sẽ thành công. Điều đáng chú ý là nhược điểm của việc triển khai này là không thể bao gồm nhiều địa chỉ IP trong tên chung của chứng chỉ đơn. 

bình luận

Leave a Comment