Certificado SSL para um endereço IP público?

Eu apenas tentei comprar um SSL Comodo Positive, mas ele foi rejeitado por não suportar um endereço IP público, mas, em vez disso, eles suportam apenas um nome de domínio.

Alguém conhece algum provedor de certificado SSL que suporte endereço IP público em vez de um nome de domínio?

Minha empresa possui um servidor dedicado hospedado em uma empresa de hospedagem na web, usada para executar um rastreador de bugs para vários projetos (para vários clientes). Como ele é usado apenas para um rastreador de bugs, não precisamos de um nome de domínio (nossos clientes acessam digitando o IP público no navegador).

Eu acho que você pode fazer isso, mas não da maneira que você está tentando fazer.

Um certificado SSL é uma instrução que liga uma chave de criptografia pública a uma estrutura X.500 que inclui um elemento CN ou Common Name; um certificado assinado é aquele em que a ligação é verificável certificada por uma autoridade de certificação de terceiros, usando a chave pública já conhecida dos usuários finais (a pilha de certificados da Autoridade de Certificação (CA) que habita o navegador).

Quando você visita um site protegido por SSL com um navegador, a CN assinada é divulgada ao navegador. O que o navegador escolhe fazer é com o navegador. Os navegadores que eu conheço comparam com o nome do host solicitado e erro se for diferente (ou se a ligação certificada não resistir à análise, por exemplo, o certificado de assinatura não é conhecido pelo navegador ou a ligação está fora do ar). atual, mas essa é uma questão diferente). Não há nada que, em princípio, impeça você de obter um certificado assinado publicamente em que o CN é um endereço IP, não um FQDN (nome de domínio totalmente qualificado) [1], mas isso não fará magicamente o navegador comparar o CN com o IP. endereço, em vez de com o nome do host solicitado .

Suspeito que a maneira mais simples de resolver seu problema é iniciar sua própria autoridade de certificação, o que é fácil, e há muitos tutoriais públicos sobre; um está aqui . Depois que seus usuários finais importarem sua CA nos navegadores, todos os certificados que você criar serão aceitos como autorizados.

Você pode ter um segundo problema, pois deseja executar muitos sites NameVirtualHost em um único endereço IP. Historicamente, isso é insuperável, pois (ao contrário do TLS) a negociação SSL ocorre antes de qualquer outra coisa em uma conexão; isto é, a CN incorporada ao seu certificado é conhecida e usada pelo cliente antes que ele possa dizer a qual host está tentando se conectar.

Recentemente, parece ter sido introduzida uma extensão de protocolo chamada SNI (Server Name Indication), que permite ao cliente e ao servidor indicar que eles gostariam de fazer algumas coisas sobre o nome do host antes que o certificado SSL seja apresentado, permitindo o caminho certo para um conjunto de certificados a serem dados pelo servidor. Aparentemente, isso requer o apache 2.2.10, uma versão suficientemente recente do OpenSSL e ( importante ) suporte do lado do cliente.

Portanto, se eu tivesse que fazer o que você está tentando fazer, estaria cunhando meu próprio certificado CA, informando aos usuários finais que eles precisam usar navegadores compatíveis com SNI e importar meu certificado raiz CA, e cortar e assinar meus próprios certificados SSL para cada site de trilha de erros.

[1] OK, você pode não ter encontrado alguém que faça isso, mas esse é um detalhe da implementação. O que estou tentando mostrar aqui é que, mesmo que você o fizesse, isso não resolveria o seu problema.

Conheço uma autoridade de certificação raiz que é pré-preenchida com todos os principais navegadores e emite certificados SSL em endereços IP públicos: dê uma olhada no GlobalSign . Eles leem as informações RIPE para validar sua solicitação de certificado, portanto, convém verificar primeiro se a entrada RIPE foi emitida com o nome correto.

Em relação ao feedback, esta entrada foi recebida:

Sim , é preferível comprar um nome de domínio e emitir um certificado SSL nessa CN. Também é mais barato que a opção GlobalSign acima.

Mas há casos em que os certificados SSL com um IP público como o CN são úteis. Muitos provedores de internet e governos bloqueiam sites indesejados com base na infraestrutura de DNS. Se você está oferecendo algum tipo de site que provavelmente será bloqueado, por exemplo, por razões políticas, é uma boa opção disponibilizá-lo através do seu endereço IP público. Ao mesmo tempo, você vai querer o tráfego criptografar para aqueles usuários e você não quer que seus usuários não-tech para ir até o aborrecimento de clicar através de avisos de exceção de segurança do seu navegador (porque o CN do certificado não corresponde o atual digitado). Fazer com que eles instalem sua própria CA raiz é ainda mais complicado e pouco realista.

Vá em frente e compre o nome de domínio. Eles são baratos, não sejam mais baratos que isso. Você só precisa de um. Talvez até mesmo configure o bugtracker.yourcompany.com.

Em seguida, para cada rastreador de erros, configure um subdomínio para esse nome. Obtenha um certificado SSL para cada um desses subdomínios. Como você parece particularmente avesso aos custos, a empresa com a qual deseja negociar se chama StartSSL.

http://www.startssl.com/

A razão pela qual você deseja usá-los é porque (além de serem confiáveis ​​pelos principais navegadores), seus certificados não custam um braço e uma perna. O tipo mais básico de certificado é realmente, honestamente, gratuito. Eles verificam sua identidade e permitem emitir quantas você precisar. Se você deseja certificados mais sofisticados (que normalmente custam várias centenas de dólares), está procurando cerca de US $ 50 por 2 anos para oferecer suporte ao SSL para vários domínios em um único IP.

Eles são super baratos para o que você recebe. Eles emitem certificados reais, confiáveis ​​pelos navegadores de seus clientes, e não testes de 90 dias, como outros lugares.