Certifikát pro IP adresu

Certifikát pro IP adresu
« kdy: 04. 05. 2021, 17:51:31 »
Je možné si vystavit certifikát pro IP adresu ,aby to fungovalo, když návštěvník zadá do browseru https://1.1.250.231/? Má to nějaké problémy na straně autorit (i Lets encrypt) a zařízení nebo samotného návrhu/protokolu? Nebo je nějaký argument, zda je to případně nesmysl a argument proč to nedělat ?

Narativ je, že mám veřejnou IP adresu (routovanou, s očekáváním zákazníka že tam rozjede https server na jakémkoli portu, které je splněno a smlouva platí, tedy veřejnou adresu podle všech definic) a "nechci" zřizovat doménu. Nemyslím ani přes obezličky jako PTR záznam alias "doména zdarma".
« Poslední změna: 04. 05. 2021, 19:31:00 od Petr Krčmář »


Re:certifikát pro IP adresu
« Odpověď #1 kdy: 04. 05. 2021, 17:55:07 »
Není to možné.

PanVP

Re:certifikát pro IP adresu
« Odpověď #2 kdy: 04. 05. 2021, 18:25:06 »

Re:certifikát pro IP adresu
« Odpověď #3 kdy: 04. 05. 2021, 18:42:13 »

PanVP

Re:certifikát pro IP adresu
« Odpověď #4 kdy: 04. 05. 2021, 19:04:57 »
Škoda, že jste si ty odkazy nerozklikl před tím, než jste je sem vložil.

Škoda, že oni neumějí anglicky ;D

Viděli by, že certifikát na IP vydat lze, první firma ho umí vydat v druhém odkazu jsou zase lépe popsané podmínky.
Včetně všech těch omezení a že jich není málo.

Ale nevadí, přeložím jim to pomocí Google translátoru:

Citace
Může být vystaven certifikát SSL pro IP adresu?
Odpověď je ano. Certifikát SSL lze vydat pro veřejnou adresu IP.

Toto jsou pravidla a požadavky pro získání certifikátu SSL pro IP adresu:

SSL lze vydat pro  veřejnou  IP adresu. 
Vaše organizace musí  vlastnit  tuto konkrétní IP adresu.  Jinými slovy,  adresa IP musí být přiřazena výhradně vaší organizaci (nikoli společnosti poskytující webhosting).
Certifikační autorita musí být schopna ověřit vaše vlastnictví IP při vyhledávání IP WHOIS. Ve vyhledávání IP WHOIS musí být uvedeno jméno vaší organizace, fyzická adresa, telefonní číslo a ID e-mailu   . 
 K zabezpečení adresy IP si musíte zakoupit  certifikát SSL ověřený organizací (OV) .
Požadované dokumenty:  Zkontrolujte zde . 
Oba  OV  domény Single  a  OV  multi-domény  SSL certifikáty lze použít pro adresu IP. 
Do pole Obecný název (CN) nebo Alternativní název subjektu (SAN) můžete napsat adresu IP (pokud jste zvolili vícedoménový SSL).
Všechny verze systému Windows budou podporovat protokol SSL, pokud jako běžný název (CN) uvedete adresu IP. Windows 8.1 a dřívější verze nebudou podporovat certifikát SSL, pokud zadáte adresu IP jako alternativní název subjektu (SAN).
« Poslední změna: 04. 05. 2021, 19:08:46 od PanVP »


Re:certifikát pro IP adresu
« Odpověď #5 kdy: 04. 05. 2021, 19:13:50 »
Škoda, že oni neumějí anglicky ;D
Jste troll a nebo toho víte o problematice tak málo, že jste nepochopil, že to v Hamparleho případě nejde?

V prvním odkazu:
Citace
Unfortunately the free LetsEncrypt CA does not support this
Takže tudy cesta nevede.

Citace
Create a self-signed ssl certificate.
To nesplňuje zadání: „aby to fungovalo, když návštěvník zadá do browseru“. Self-signed certifikát by musel návštěvník extra odsouhlasit nebo nainstalovat.

Citace
Purchase an SSL certificate from a provider. For this I’d recommend reaching out to a few providers to find one that will support issuing a certificate for your public IP address.
To vypadá nadějně, některé CA opravdu poskytují certifikáty na veřejné IP adresy. Ale za jakých podmínek?

Podíváme se tedy na druhý odkaz:
Citace
Your organization must own that particular IP address. In other words, the IP address must be exclusively assigned to your organization (not to the web hosting company).
A certificate authority must be able to verify your IP ownership under an IP WHOIS lookup. Your organization’s name, physical address, phone number, and email id must be shown in the  IP WHOIS lookup.
Takže smůla, na IP adresu propůjčeno od ISP vám certifikát nevydají, protože nemají jak ověřit, že vám ta IP adresa patří.

Pro vaši informaci, ostatní CA mají podobné podmínky.

A ještě něco:
Citace
You must buy an Organization Validated (OV) SSL certificate to secure an IP address.
Pořizovat OV certifikát by vyšlo mnohem dráž, než pořídit nějakou doménu a k ní LE certifikát zdarma.

PanVP

Re:certifikát pro IP adresu
« Odpověď #6 kdy: 04. 05. 2021, 19:28:33 »
některé CA opravdu poskytují certifikáty na veřejné IP adresy. Ale za jakých podmínek?

A já se obával, že to nepochopěj!
Tleskám jim! ;)

Není to možné.

Teď už jsou chytřejší.

Mlčel bych, kdyby napsali správnou odpověď - která já:
"Ano, samozřejmě, že to lze, ale v našich končinách to je velmi obtížné. IP adresa musí být ve vašem vlastnictví - tedy vedená na vás."

Ale to oni né, že to nejde, že to Fááákt nejde.
Když oni mě hrozně rádi pokoušejí tím, že píšou blbosti, věděj?
Tak příště ať blbosti nepíšou, nemluvěj k tomu, o čem málo věděj a já je nebudu zlobit.

Re:certifikát pro IP adresu
« Odpověď #7 kdy: 04. 05. 2021, 19:29:41 »
Jak píše Filip, technicky tomu nic nebrání, ale autority takový certifikát nejsou moc ochotné podepisovat. Třeba Let's Encrypt to vůbec nedělá.

Ale třeba CloudFlare ho má na https://1.1.1.1. Ale to je trochu jiná liga a hlavně oznamuje do internetu celý blok, takže se dá ověřit, že jim patří.

PanVP

Re:certifikát pro IP adresu
« Odpověď #8 kdy: 04. 05. 2021, 19:33:25 »
takže se dá ověřit, že jim patří

Ano, to je podmínka, která je splnitelná i v ČR.
Některé, dokonce i menší firmy, mají třeba celé C bloky IP adres.
Zařízení takového certifikátu je možné, ostatně sám jsem tom pro někoho (v ČR!) dělal.

A
Jak píše Filip, technicky tomu nic nebrání

Jenže Jirsák, než si nastudoval můj odkaz, začal:
Není to možné.

Což je prostě blbost, lež, nesmysl, nepravda...

Re:certifikát pro IP adresu
« Odpověď #9 kdy: 04. 05. 2021, 19:35:49 »
Teď už jsou chytřejší.
Ano, už vím, že jste troll.

Mlčel bych, kdyby napsali správnou odpověď - která já:
"Ano, samozřejmě, že to lze, ale v našich končinách to je velmi obtížné. IP adresa musí být ve vašem vlastnictví - tedy vedená na vás."
Ano, to by byla správná odpověď – na jinou otázku. Na otázku, zda lze obecně získat certifikát na veřejnou IP adresu. Jenže tady byla otázka položena jinak – zda lze získat certifikát na veřejnou IP adresu, kterou má někdo propůjčenou od ISP.

Když oni mě hrozně rádi pokoušejí tím, že píšou blbosti, věděj?
Tak příště ať blbosti nepíšou, nemluvěj k tomu, o čem málo věděj a já je nebudu zlobit.
Já jsem blbost nenapsal. Jenom jsem – na rozdíl od vás – odpověděl na otázku, která byla položena.

PanVP

Re:certifikát pro IP adresu
« Odpověď #10 kdy: 04. 05. 2021, 19:41:27 »

Aha, já zapomněl, že oni nerozuměj počítačům.  ::)

Narativ je, že mám veřejnou IP adresu (routovanou, ... tedy veřejnou adresu podle všech definic

Oni z toho vyčtou, že to je IP adresa zapůjčená poskytovatelem?
Já z toho vidím, že otázka zní, jestli je možné vydat certifikát na veřejnou IP adresu, což vydat lze.
« Poslední změna: 04. 05. 2021, 19:43:05 od PanVP »

Re:certifikát pro IP adresu
« Odpověď #11 kdy: 04. 05. 2021, 19:50:13 »
Oni z toho vyčtou, že to je IP adresa zapůjčená poskytovatelem?
Ano.

Re:Certifikát pro IP adresu
« Odpověď #12 kdy: 04. 05. 2021, 19:50:16 »
Mohli byste se prosím do sebe přestat tak dětinsky navážet? Diskutovat se dá v klidu a s nadhledem. Bez toho povýšeneckého přístupu na obou stranách.

PanVP

Re:Certifikát pro IP adresu
« Odpověď #13 kdy: 04. 05. 2021, 19:54:08 »

Chápu, v tomhle případě to musím být já, kdo ustoupí.


Re:Certifikát pro IP adresu
« Odpověď #14 kdy: 04. 05. 2021, 19:59:54 »
Děkuji, to je dobrý přístup, opravdu. Příště se dá klidně napsat: „Filipe, já myslím, že nemáš pravdu, protože…“ a vynechat celý ten zbytečný nájezd.