Un certificato SSL per un indirizzo IP protegge qualsiasi indirizzo IPv4 o IPv6 pubblico e instradabile su internet aperto, con l’IP elencato nel campo SAN del certificato affinché i browser possano considerare attendibile la connessione. Le CA pubbliche li emettono per server e servizi raggiungibili tramite IP anziché tramite nome di dominio. I prezzi dei certificati qui sotto partono da $44,33/anno, con opzioni per un singolo IP pubblico o fino a 250 IP su un unico certificato.


Cosa fa un Certificato SSL per un Indirizzo IP

Un certificato SSL per un indirizzo IP è un certificato TLS X.509 pubblicamente attendibile emesso per un indirizzo IPv4 o IPv6 pubblico anziché per un nome di dominio. Affinché i browser considerino attendibile la connessione, l’IP deve comparire nel campo Subject Alternative Name (SAN) come voce iPAddress: il campo X.509 che CA e browser verificano durante l’handshake TLS. Il resolver di Cloudflare su https://1.1.1.1 ne è un esempio familiare.
HTTPS su un IP funziona esattamente come HTTPS su un dominio. Non vi è alcuna differenza di protocollo, nessun handshake più debole, nessun compromesso sulla forza della crittografia. Un certificato IP utilizza gli stessi protocolli TLS 1.2 e TLS 1.3 e la stessa crittografia (AES-256 con chiavi RSA a 2048 bit o superiori, o ECC equivalente) di un certificato di dominio allo stesso livello di validazione.
IP Pubblici vs Privati: Cosa e’ Consentito
Solo gli IP pubblici possono essere protetti con un certificato SSL pubblicamente attendibile. Dal novembre 2015, i Requisiti di Base del CA/Browser Forum vietano alle CA pubbliche di emettere certificati per intervalli di IP privati o hostname esclusivamente interni. Tra gli esempi rientrano l’intervallo 10.0.0.0/8, da 172.16.0.0 a 172.31.255.255, 192.168.0.0/16 e le convenzioni di denominazione che terminano in .local, .internal o .corp. Nessuno di questi e’ globalmente univoco, quindi un certificato emesso per essi potrebbe essere impersonato su qualsiasi altra rete che utilizzi lo stesso indirizzo.
Per un IP privato o interno, un certificato autofirmato e’ adatto ai test, mentre Sectigo Private PKI e’ la soluzione per ambienti di produzione: una CA privata il cui root si installa sui propri dispositivi.
Casi d’Uso Comuni per i Certificati SSL su Indirizzo IP
Un certificato IP e’ adatto a qualsiasi configurazione in cui il servizio e’ raggiungibile tramite IP anziché tramite DNS. I casi piu’ comuni includono:
- Server di posta e gateway SMTP/IMAP che espongono endpoint di amministrazione o relay tramite IP, dove un dominio non si adatta al modello di routing.
- Dispositivi IoT, appliance NAS, router e firewall con interfacce di amministrazione accessibili pubblicamente: il dispositivo ha un IP ma nessun record DNS.
- Servizi back-end cloud e API esposti tramite IP per integrazioni con partner o automazione interna.
- Load balancer e reverse proxy in esecuzione su IP dedicati davanti a piu’ servizi interni.
- Applicazioni legacy e client piu’ datati che non supportano Server Name Indication (SNI) e necessitano di un certificato IP per negoziare TLS.
Come Ottenere un Certificato SSL per il Tuo Indirizzo IP
Per un singolo IP pubblico, scegli Comodo InstantSSL Pro o Sectigo InstantSSL Pro (Business Validation). Per più IP su un unico certificato (fino a 250 voci SAN), scegli il GoGetSSL Public IP SAN (Domain Validation).
Per il GoGetSSL Public IP SAN, lascia il Common Name vuoto ed elenca gli IP nella sezione SAN. Per InstantSSL Pro, inserisci l'indirizzo IP pubblico come Common Name.
Verifica il controllo dell'IP tramite DCV basata su file HTTP: la CA ti fornisce un piccolo file di testo da ospitare in un percorso fisso sul server raggiungibile a quell'IP. È l'unico metodo di validazione che il CA/Browser Forum consente per i certificati IP; le verifiche via email e DNS non sono ammesse.
Installa il certificato emesso sul tuo server e completa un handshake di prova.
Validita’ dei Certificati IP e il Passaggio a Durate Piu’ Brevi
Ogni certificato TLS pubblicamente attendibile, compresi i certificati IP, rientra nel CA/Browser Forum Ballot SC-081v3, approvato nell’aprile 2025 e in fase di implementazione graduale. La validita’ massima scende a 200 giorni il 15 marzo 2026, poi a 100 giorni il 15 marzo 2027, e a 47 giorni il 15 marzo 2029.
Per chi gestisce un numero ridotto di certificati IP, il cambiamento comporta rinnovi piu’ frequenti; per le distribuzioni su larga scala, l’automazione ACME inizia a sembrare meno opzionale e piu’ un’infrastruttura di base.
Domande frequenti
No. Solo gli IP pubblici e instradabili sono idonei. DV e BV sono entrambi disponibili per i certificati IP, ma EV no: il CA/Browser Forum non consente la Extended Validation per gli IP.
Copia link
Sì. Il GoGetSSL Public IP SAN supporta fino a 250 voci SAN che combinano IP pubblici e nomi di dominio completamente qualificati su un unico certificato. Per configurazioni con soli domini su molti hostname, consulta la gamma di certificati Multi-Domain SAN.
Copia link
No. Stessi protocolli TLS 1.2 e 1.3, stesse opzioni di chiave RSA ed ECC, stessi livelli di garanzia.
Copia link
Una CA pubblica non può emettere certificati per IP privati. Sectigo Private PKI è la soluzione per ambienti di produzione; i certificati self-signed sono adatti solo per test interni non attendibili.
Copia link
Circa 5 minuti per il GoGetSSL Public IP SAN (DV). Sectigo e Comodo InstantSSL Pro richiedono 1-2 giorni lavorativi perché la Business Validation richiede la verifica dei documenti aziendali.
Copia link
Non sai di cosa hai bisogno?
Usa il nostro SSL Wizard per selezionare le tue opzioni e ti aiuteremo a trovare il certificato SSL giusto.
Non sai di cosa hai bisogno?

