تؤمّن شهادة SSL لعنوان IP أي عنوان IPv4 أو IPv6 عام وقابل للتوجيه على الإنترنت المفتوح، إذ يُدرج عنوان IP في حقل SAN الخاص بالشهادة لتثق المتصفحات بالاتصال. تُصدر جهات CA العامة هذه الشهادات للخوادم والخدمات التي يُصل إليها عبر IP بدلاً من اسم النطاق. تبدأ أسعار الشهادات أدناه من 44.33 دولاراً/سنة، مع خيارات لعنوان IP عام واحد أو ما يصل إلى 250 عنوان IP على شهادة واحدة.


ما الذي تفعله شهادة SSL لعنوان IP

شهادة SSL لعنوان IP هي شهادة TLS من النوع X.509 موثوقة عامياً، تُصدر لعنوان IPv4 أو IPv6 عام بدلاً من اسم نطاق. لكي تثق المتصفحات بالاتصال، يجب أن يظهر عنوان IP في حقل Subject Alternative Name (SAN) كإدخال iPAddress: وهو حقل X.509 الذي تتحقق منه جهات CA والمتصفحات أثناء مصافحة TLS. ومحلل Cloudflare على https://1.1.1.1 مثال مألوف على ذلك.
يعمل HTTPS عبر عنوان IP بالطريقة ذاتها التي يعمل بها HTTPS عبر نطاق. لا يوجد فرق في البروتوكول، ولا مصافحة أضعف، ولا تنازل في قوة التشفير. تستخدم شهادة IP بروتوكولَي TLS 1.2 و TLS 1.3 ذاتهما والتشفير نفسه (AES-256 مع مفاتيح RSA بحجم 2048 بت أو أقوى، أو ما يعادلها من ECC) تماماً كشهادة النطاق على مستوى التحقق ذاته.
عناوين IP العامة مقابل الخاصة: ما المسموح به
لا يمكن تأمين سوى عناوين IP العامة بشهادة SSL موثوقة عامياً. منذ نوفمبر 2015، حظرت متطلبات CA/Browser Forum Baseline Requirements على جهات CA العامة إصدار شهادات لنطاقات IP الخاصة أو أسماء المضيفين الداخلية فقط. ومن الأمثلة على ذلك نطاق 10.0.0.0/8، ونطاق 172.16.0.0-172.31.255.255، ونطاق 192.168.0.0/16، واصطلاحات التسمية المنتهية بـ .local أو .internal أو .corp. لا يُعدّ أيٌّ منها فريداً على مستوى العالم، لذا يمكن انتحال هوية شهادة صادرة لها على أي شبكة أخرى تستخدم العنوان ذاته.
بالنسبة لعنوان IP خاص أو داخلي، تُجدي الشهادة الموقّعة ذاتياً في بيئات الاختبار، أما في بيئة الإنتاج فإن Sectigo Private PKI هو الحل الاحترافي: جهة CA خاصة تثبّت جذرها على أجهزتك الخاصة.
حالات الاستخدام الشائعة لشهادات SSL لعناوين IP
تناسب شهادة IP أي إعداد يُصل فيه إلى الخدمة عبر IP بدلاً من DNS. ومن الحالات الشائعة:
- خوادم البريد وبوابات SMTP/IMAP التي تعرض نقاط نهاية الإدارة أو الترحيل عبر IP، حيث لا يتناسب النطاق مع نموذج التوجيه.
- أجهزة IoT وأجهزة NAS وأجهزة التوجيه وجدران الحماية ذات واجهات إدارة مواجهة للعموم: يمتلك الجهاز عنوان IP لكن لا يوجد له سجل DNS.
- خدمات الواجهة الخلفية السحابية وواجهات API المكشوفة عبر IP لتكاملات الشركاء أو الأتمتة الداخلية.
- موازنات التحميل والوكلاء العكسيون العاملون على عناوين IP مخصصة أمام خدمات داخلية متعددة.
- التطبيقات القديمة والعملاء الأقدم التي لا تدعم Server Name Indication (SNI) وتحتاج إلى شهادة IP للتفاوض على TLS أصلاً.
كيفية الحصول على شهادة SSL لعنوان IP الخاص بك
بالنسبة لعنوان IP عام واحد، اختر Comodo InstantSSL Pro أو Sectigo InstantSSL Pro (التحقق من الأعمال). أما لعناوين IP متعددة على شهادة واحدة (حتى 250 إدخالاً من SAN)، فاختر GoGetSSL Public IP SAN (التحقق من النطاق).
بالنسبة لـ GoGetSSL Public IP SAN، اترك حقل Common Name فارغاً وأدرج عناوين IP في قسم SAN. أما بالنسبة لـ InstantSSL Pro، فأدخل عنوان IP العام كـ Common Name.
تحقق من السيطرة على عنوان IP باستخدام التحقق من التحكم في النطاق (DCV) المستند إلى ملف HTTP: تمنحك CA ملفاً نصياً صغيراً لاستضافته في مسار ثابت على الخادم الذي يمكن الوصول إليه عبر عنوان IP هذا. وهي الطريقة الوحيدة للتحقق التي يسمح بها CA/Browser Forum لشهادات IP؛ إذ لا يُسمح باستخدام تحديات البريد الإلكتروني أو DNS.
ثبِّت الشهادة الصادرة على خادمك وأكمل اختبار المصافحة.
صلاحية شهادة IP والتحول نحو فترات أقصر
تخضع كل شهادة TLS موثوقة عامياً، بما فيها شهادات IP، لـ CA/Browser Forum Ballot SC-081v3، التي أُقرّت في أبريل 2025 وتُطرح وفق جدول زمني مرحلي. تنخفض الصلاحية القصوى إلى 200 يوم في 15 مارس 2026، ثم إلى 100 يوم في 15 مارس 2027، وإلى 47 يوماً في 15 مارس 2029.
بالنسبة لمشتري شهادات IP الذين يديرون عدداً صغيراً من الشهادات، يعني هذا التغيير تجديدات أكثر تكراراً؛ أما في حالة النشر الواسع النطاق، فإن أتمتة ACME تبدو أقل اختيارية وأقرب إلى بنية تحتية أساسية.
الأسئلة المتداولة
لا. فقط عناوين IP العامة والقابلة للتوجيه مؤهلة. يتوفر كل من DV وBV لشهادات IP، أما EV فلا: إذ لا تسمح CA/Browser Forum بالتحقق الموسع (Extended Validation) لعناوين IP على الإطلاق.
نسخ الرابط
نعم. يدعم GoGetSSL Public IP SAN ما يصل إلى 250 إدخال SAN يجمع بين عناوين IP العامة والأسماء المؤهلة بالكامل للنطاقات على شهادة واحدة. للإعدادات المخصصة للنطاقات فقط عبر أسماء مضيفين متعددة، راجع نطاق شهادة Multi-Domain SAN.
نسخ الرابط
لا. نفس بروتوكولات TLS 1.2 و TLS 1.3، ونفس خيارات المفاتيح RSA و ECC، ونفس مستويات الضمان.
نسخ الرابط
لا يمكن للـ CA العام إصدار شهادات لعناوين IP الخاصة. يُعدّ Sectigo Private PKI الحل المناسب للبيئات الإنتاجية؛ أما الشهادات الموقّعة ذاتيًا فهي مناسبة فقط للاختبار الداخلي غير الموثوق.
نسخ الرابط
حوالي 5 دقائق لشهادة GoGetSSL Public IP SAN (DV). أما Sectigo وComodo InstantSSL Pro فتستغرقان من 1 إلى 2 يوم عمل لأن التحقق من صحة الأعمال (Business Validation) يتطلب التحقق من وثائق الشركة.
نسخ الرابط
لا تعرف ما تحتاجه؟
استخدم SSL Wizard لتحديد خياراتك، وسنساعدك في العثور على شهادة SSL المناسبة.
لا تعرف ما تحتاجه؟

