Ein SSL-Zertifikat für eine IP-Adresse sichert jede öffentliche, routbare IPv4- oder IPv6-Adresse im offenen Internet, wobei die IP im SAN-Feld des Zertifikats aufgeführt ist, damit Browser der Verbindung vertrauen. Öffentliche CAs stellen diese für Server und Dienste aus, die per IP statt per Domainname erreichbar sind. Die Preise für die unten aufgeführten Zertifikate beginnen bei 44,33 $/Jahr, mit Optionen für eine einzelne öffentliche IP oder bis zu 250 IPs auf einem Zertifikat.


Was ein SSL-Zertifikat für eine IP-Adresse leistet

Ein SSL-Zertifikat für eine IP-Adresse ist ein öffentlich vertrauenswürdiges X.509 TLS-Zertifikat, das für eine öffentliche IPv4- oder IPv6-Adresse statt für einen Domainnamen ausgestellt wird. Damit Browser der Verbindung vertrauen, muss die IP im Subject Alternative Name (SAN)-Feld als iPAddress-Eintrag erscheinen: das X.509-Feld, das CAs und Browser beim TLS-Handshake prüfen. Cloudflares Resolver unter https://1.1.1.1 ist ein bekanntes Beispiel.
HTTPS über eine IP funktioniert genauso wie HTTPS über eine Domain. Es gibt keinen Protokollunterschied, keinen schwächeren Handshake und keine Einschränkung bei der Verschlüsselungsstärke. Ein IP-Zertifikat verwendet dieselben TLS 1.2- und TLS 1.3-Protokolle und dieselbe Verschlüsselung (AES-256 mit 2048-Bit- oder stärkeren RSA-Schlüsseln oder gleichwertigem ECC) wie ein Domain-Zertifikat auf demselben Validierungsniveau.
Öffentliche vs. private IP-Adressen: Was erlaubt ist
Nur öffentliche IPs können mit einem öffentlich vertrauenswürdigen SSL-Zertifikat gesichert werden. Seit November 2015 verbieten die CA/Browser Forum Baseline Requirements öffentlichen CAs die Ausstellung von Zertifikaten für private IP-Bereiche oder nur intern verwendete Hostnamen. Dazu gehören der Bereich 10.0.0.0/8, 172.16.0.0-172.31.255.255, 192.168.0.0/16 sowie Namenskonventionen, die auf .local, .internal oder .corp enden. Keiner dieser Bereiche ist global eindeutig, sodass ein dafür ausgestelltes Zertifikat in jedem anderen Netzwerk mit derselben Adresse imitiert werden könnte.
Für eine private oder interne IP eignet sich ein selbstsigniertes Zertifikat für Testzwecke, und Sectigo Private PKI ist die produktionsreife Lösung: eine private CA, deren Root-Zertifikat Sie auf Ihren eigenen Geräten installieren.
Häufige Anwendungsfälle für SSL-Zertifikate für IP-Adressen
Ein IP-Zertifikat eignet sich für jede Konfiguration, bei der der Dienst per IP statt per DNS erreichbar ist. Häufige Anwendungsfälle sind:
- Mail-Server und SMTP/IMAP-Gateways, die Admin- oder Relay-Endpunkte per IP bereitstellen, wo ein Domainname nicht zum Routing-Modell passt.
- IoT-Geräte, NAS-Appliances, Router und Firewalls mit öffentlich zugänglichen Admin-Oberflächen: Das Gerät hat eine IP, aber keinen DNS-Eintrag.
- Cloud-Backend-Dienste und APIs, die per IP für Partner-Integrationen oder interne Automatisierung bereitgestellt werden.
- Load Balancer und Reverse Proxies, die auf dedizierten IPs vor mehreren internen Diensten betrieben werden.
- Legacy-Anwendungen und ältere Clients, die Server Name Indication (SNI) nicht unterstützen und ein IP-Zertifikat benötigen, um TLS überhaupt aushandeln zu können.
So erhalten Sie ein SSL-Zertifikat für Ihre IP-Adresse
Für eine einzelne öffentliche IP wählen Sie Comodo InstantSSL Pro oder Sectigo InstantSSL Pro (Business Validation). Für mehrere IPs auf einem Zertifikat (bis zu 250 SAN-Einträge) wählen Sie das GoGetSSL Public IP SAN (Domain Validation).
Lassen Sie beim GoGetSSL Public IP SAN das Feld „Common Name" leer und tragen Sie die IPs in den SAN-Abschnitt ein. Geben Sie beim InstantSSL Pro die öffentliche IP-Adresse als Common Name ein.
Überprüfen Sie die Kontrolle über die IP mittels HTTP-dateibasierter DCV: Die CA stellt Ihnen eine kleine Textdatei zur Verfügung, die Sie unter einem festen Pfad auf dem Server hosten müssen, der über diese IP erreichbar ist. Dies ist die einzige Validierungsmethode, die das CA/Browser Forum für IP-Zertifikate zulässt; E-Mail- und DNS-Challenges sind nicht erlaubt.
Installieren Sie das ausgestellte Zertifikat auf Ihrem Server und führen Sie einen Test-Handshake durch.
Gültigkeit von IP-Zertifikaten und der Wechsel zu kürzeren Laufzeiten
Jedes öffentlich vertrauenswürdige TLS-Zertifikat, einschließlich IP-Zertifikaten, fällt unter CA/Browser Forum Ballot SC-081v3, der im April 2025 verabschiedet wurde und nach einem stufenweisen Zeitplan eingeführt wird. Die maximale Gültigkeit sinkt am 15. März 2026 auf 200 Tage, dann am 15. März 2027 auf 100 Tage und am 15. März 2029 auf 47 Tage.
Für IP-Zertifikat-Käufer, die eine kleine Anzahl von Zertifikaten verwalten, bedeutet die Änderung häufigere Verlängerungen; bei großen Deployments beginnt ACME-Automatisierung weniger optional und mehr wie grundlegende Infrastruktur auszusehen.
Häufig gestellte Fragen
Nein. Nur öffentliche, routbare IPs sind berechtigt. DV und BV sind beide für IP-Zertifikate verfügbar, aber EV nicht: Das CA/Browser Forum erlaubt Extended Validation für IPs grundsätzlich nicht.
Link kopieren
Ja. Das GoGetSSL Public IP SAN unterstützt bis zu 250 SAN-Einträge, die öffentliche IPs und vollqualifizierte Domainnamen auf einem einzigen Zertifikat kombinieren. Für reine Domain-Setups über viele Hostnamen hinweg, siehe die Multi-Domain SAN-Zertifikat-Reihe.
Link kopieren
Nein. Dieselben TLS 1.2- und 1.3-Protokolle, dieselben RSA- und ECC-Schlüsseloptionen, dieselben Garantiestufen.
Link kopieren
Eine öffentliche CA kann keine Zertifikate für private IPs ausstellen. Sectigo Private PKI ist die produktionsgeeignete Lösung; selbstsignierte Zertifikate eignen sich nur für nicht vertrauenswürdige interne Tests.
Link kopieren
Etwa 5 Minuten für das GoGetSSL Public IP SAN (DV). Sectigo und Comodo InstantSSL Pro benötigen 1-2 Werktage, da die Business Validation eine Überprüfung der Unternehmensunterlagen erfordert.
Link kopieren
Wissen Sie nicht, was Sie brauchen?
Nutzen Sie unseren SSL-Wizard, um Ihre Optionen auszuwählen, und wir helfen Ihnen, das richtige SSL-Zertifikat zu finden.
Wissen Sie nicht, was Sie brauchen?

