Let's Encrypt颁发第一个IP地址证书

自2015年Let’s Encrypt开始颁发证书以来，用户一直请求能够获取IP地址证书，但只有少数证书颁发机构提供此功能。到目前为止，Let’s Encrypt尚未提供此功能，用户只能另寻他处。7月1日，Let’s Encrypt正式颁发了首张IP地址证书。

let's Encrypt

　关于IP地址证书的背景知识

IP地址是互联网的底层数字地址，互联网上的每个设备都有一个IP地址（尽管在现代实际应用中，可能会与其他设备共享，例如整个家庭网络共享一个公共IP地址）。互联网基础设施利用它们将通信路由到正确的目的地。IP地址有两种形式，IPv4和IPv6，常见的如54.215.62.21（IPv4）或2600:1f1c:446:4900::65（IPv6）。

大多数互联网用户很少直接看到或提及IP地址，而是几乎总是使用域名（如letsencrypt.org）来访问互联网服务。域名系统（DNS）是互联网基础设施的一部分，负责让软件找到与特定域名相关联的IP地址。例如，当用户访问letsencrypt.org时，Web浏览器会通过DNS获取该网站的IP地址，然后才能连接并获取内容。

由于人们通常用域名来思考和谈论互联网服务，因此域名成为Let’s Encrypt等机构颁发的证书中通常列出的标识符。这也使得互联网服务能够更灵活地在多个位置托管或更改托管位置，而无需为每个服务器单独申请证书。

从原则上讲，完全可以为IP地址而非域名颁发证书，事实上，证书的技术和政策标准一直允许这样做，只是少数证书颁发机构小规模地提供这项服务。对于Let’s Encrypt来说，一直等到其他一些条件（如短期证书）就绪后，才为用户提供这一选项。

　IP地址证书不太常见的原因

域名的主导地位：互联网用户通常通过域名而非IP地址来识别服务，而且IP地址可能在毫无预兆的情况下“幕后”更改。例如，一个热门网站从一家云托管公司切换到另一家，只需更新DNS记录指向新主机，大多数用户根本不会注意到变化，尽管网站的底层IP地址已完全不同。
IP地址的不稳定性：IP地址的“所有权”概念相对较弱，证书颁发机构对此的证明能力也有限。如果在家中通过住宅宽带连接托管内容，互联网服务提供商很可能不保证IP地址长期不变（大多数家庭用户拥有的是动态IP地址，而非静态IP地址），这意味着IP地址可能经常无预警地变更，旧地址还可能被分配给他人。
实际应用场景有限：大多数互联网服务运营商并不期望终端用户会有意直接通过IP地址连接到他们的网站。在某些情况下，当一个IP地址被不同的网站或设备共享时，仅通过IP地址连接甚至无法正常工作，此时为IP地址获取证书就没有太大意义。

Let's Encrypt颁发第一个IP地址证书

　Let’s Encrypt用户可能使用IP地址证书的场景

托管提供商的默认页面：当有人将服务器的IP地址粘贴到浏览器中而不是具体的网站名称时（目前这种情况通常会在浏览器中产生错误），IP地址证书可提供支持。
无域名时访问网站：这是一种在没有域名的情况下访问网站的方式，但与获取域名相比，在可靠性和便利性上会有一定代价。
保障DNS over HTTPS（DoH）等基础设施服务：拥有证书使DoH服务器更容易向客户端证明自己的身份，这使得DoH用户或客户端在连接到DoH服务器时，更有可能强制要求使用有效的公共可信证书。
保障家庭设备的远程访问：即使没有域名，也能为一些家庭设备（如网络附加存储服务器和物联网设备）的远程访问提供安全保障。
保障云托管基础设施内的临时连接：例如，一台后端云服务器与另一台后端云服务器之间的连接，或者通过HTTPS对新的或短期的后端服务器进行管理的临时连接，只要这些服务器至少有一个可用的公共IP地址。

　如何获取IP地址证书

当前IP地址证书目前已在Staging环境中可用，预计在2025年晚些时候，当短期证书全面可用时，也将在Prod环境中普遍可用。在全面可用之前，可能会允许有限数量的合作伙伴进行列表颁发，以获取反馈。

许多Let’s Encrypt客户端应用程序应该已经能够请求IP地址证书，但某些客户端软件可能需要进行微小的技术更改以支持这一功能。

　政策与技术要求：

Let’s Encrypt颁发的涵盖IP地址的证书必须是短期证书，有效期仅约六天。因此，ACME客户端必须支持ACME配置文件草案规范，并配置为请求“shortlived”配置文件。
不能使用DNS挑战方法来证明对IP地址的控制权，只能使用http-01和tls-alpn-01方法。
如果客户端软件请求的IP地址证书细节不符合这些政策，ACME服务器将拒绝该订单，此时可能需要更新或重新配置客户端应用程序。

如果在使用过程中遇到任何问题，无论是作为客户端应用程序开发人员还是最终用户，都可以在Let’s Encrypt社区论坛上寻求帮助。

IP地址证书的推出，是Let’s Encrypt在证书服务领域的又一次重要拓展，为那些有特殊需求的用户提供了更多的选择，也为互联网安全的多样化应用场景增添了新的可能。

文章来源｜letsencrypt.org

免责声明

1、本文部分内容来源于网络，不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下，本文信息仅作参考。

2、文章重在分享，如有原创声明和侵权，请及时联系本站，我们将在24小时之内对稿件作删除处理。