Я хочу, чтобы мой сайт использовал URL-адреса, такие как http://2.2.2.2/... и https://2.2.2.2/... для статического содержимого, чтобы избежать ненужных файлов cookie в запросе и избежать дополнительного запроса DNS.
Есть ли способ получить сертификат SSL для этой цели?
В соответствии с этим ответом это возможно, но редко используется.
Что касается того, как это сделать: я бы попробовал просто заказать его у поставщика по вашему выбору и ввести IP-адрес вместо домена во время процесса заказа.
Однако запуск сайта по IP-адресу во избежание поиска DNS звучит ужасно, как ненужная микро-оптимизация для меня. Вы сэкономите несколько миллисекунд в лучшем случае, и это за посещение, так как результаты DNS кэшируются на нескольких уровнях.
Я не думаю, что ваша идея имеет смысл с точки зрения оптимизации.
Короткий ответ - да, если это общедоступный IP-адрес.
Выдача сертификатов на зарезервированные IP-адреса недопустима, и все сертификаты, ранее выпущенные на зарезервированные IP-адреса, были отменены с 1 октября 2016 года.
В соответствии с форумом браузера CA могут возникать проблемы совместимости с сертификатами для IP-адресов, если только IP-адрес не указан в имени commonName и subjectAltName. Это связано с устаревшими реализациями SSL, которые не совпадают с RFC 5280, в частности с ОС Windows до Windows 10.
Примечание. В более ранней версии этого ответа было указано, что все сертификаты IP-адресов будут отменены 1 октября 2016 года. Благодаря Navin для указания ошибки.
Ответ, я думаю, да. Например, эта ссылка.
Выдача сертификата SSL на общедоступный IP-адрес
Сертификат SSL обычно выдается полнофункциональному доменному имени (FQDN), например " https://www.domain.com". Однако некоторым организациям нужен сертификат SSL, выданный публичному IP-адресу. Этот параметр позволяет указать общедоступный IP-адрес в качестве общего имени в вашем запросе подписи сертификата (CSR). Выданный сертификат затем может использоваться для защиты соединений напрямую с общедоступным IP-адресом (например, https://123.456.78.99.).
Рабочий пример (по состоянию на 2017-03-15), выпущенный печально известным китайским CA
Возможно, но большая часть поставщика сертификатов уже не собирается этого делать.
Короче говоря, эта политика повышает безопасность. Потому что внутренний сервер имена не уникальны, они уязвимы для человека в середине (MITM) атаки. В атаке MITM злоумышленник использует копию реального сертификат или дубликат сертификата для перехвата и повторной передачи Сообщения. Поскольку ЦС выдают несколько сертификатов для одного и того же внутреннее имя, злоумышленник может сделать действительный запрос для дубликата сертификат и использовать его для MITM.