Um certificado SSL para um endereço IP protege qualquer endereço IPv4 ou IPv6 público e roteável na internet aberta, com o IP listado no campo SAN do certificado para que os navegadores confiem na conexão. As CAs públicas emitem estes certificados para servidores e serviços acessados por IP em vez de por nome de domínio. Os preços dos certificados abaixo começam em $44,33/ano, com opções para um único IP público ou até 250 IPs num único certificado.


O Que Faz um Certificado SSL para um Endereço IP

Um certificado SSL para um endereço IP é um certificado TLS X.509 de confiança pública emitido para um endereço IPv4 ou IPv6 público em vez de para um nome de domínio. Para que os navegadores confiem na conexão, o IP deve aparecer no campo Subject Alternative Name (SAN) como uma entrada iPAddress: o campo X.509 que as CAs e os navegadores verificam durante o handshake TLS. O resolver da Cloudflare em https://1.1.1.1 é um exemplo familiar.
O HTTPS sobre um IP funciona da mesma forma que o HTTPS sobre um domínio. Não há diferença de protocolo, nenhum handshake mais fraco, nenhum compromisso na força de encriptação. Um certificado IP utiliza os mesmos protocolos TLS 1.2 e TLS 1.3 e a mesma encriptação (AES-256 com chaves RSA de 2048 bits ou superiores, ou ECC equivalente) que um certificado de domínio ao mesmo nível de validação.
IPs Públicos vs Privados: O Que é Permitido
Apenas IPs públicos podem ser protegidos com um certificado SSL de confiança pública. Desde novembro de 2015, os Requisitos de Base do CA/Browser Forum proíbem as CAs públicas de emitir certificados para intervalos de IP privados ou nomes de host exclusivamente internos. Os exemplos incluem o intervalo 10.0.0.0/8, 172.16.0.0-172.31.255.255, 192.168.0.0/16, e convenções de nomenclatura terminadas em .local, .internal ou .corp. Nenhum destes é globalmente único, pelo que um certificado emitido para eles poderia ser falsificado em qualquer outra rede que utilize o mesmo endereço.
Para um IP privado ou interno, um certificado autoassinado funciona para testes, e o Sectigo Private PKI é a solução para ambientes de produção: uma CA privada cuja raiz é instalada nos seus próprios dispositivos.
Casos de Uso Comuns para Certificados SSL de Endereço IP
Um certificado IP é adequado para qualquer configuração em que o serviço é acedido por IP em vez de por DNS. Os casos mais comuns incluem:
- Servidores de correio e gateways SMTP/IMAP que expõem endpoints de administração ou de relay por IP, onde um domínio não se adequa ao modelo de roteamento.
- Dispositivos IoT, appliances NAS, routers e firewalls com interfaces de administração voltadas para o público: o dispositivo tem um IP mas nenhum registo DNS.
- Serviços de back-end na cloud e APIs expostos por IP para integrações com parceiros ou automação interna.
- Load balancers e proxies reversos a correr em IPs dedicados à frente de múltiplos serviços internos.
- Aplicações legadas e clientes mais antigos que não suportam Server Name Indication (SNI) e precisam de um certificado IP para negociar TLS.
Como Obter um Certificado SSL para o Seu Endereço IP
Para um único IP público, escolha o Comodo InstantSSL Pro ou o Sectigo InstantSSL Pro (Business Validation). Para múltiplos IPs num único certificado (até 250 entradas SAN), escolha o GoGetSSL Public IP SAN (Domain Validation).
Para o GoGetSSL Public IP SAN, deixe o Common Name em branco e liste os IPs na secção SAN. Para o InstantSSL Pro, insira o endereço IP público como Common Name.
Verifique o controlo do IP utilizando DCV baseado em ficheiro HTTP: a CA fornece-lhe um pequeno ficheiro de texto para alojar num caminho fixo no servidor acessível nesse IP. É o único método de validação que o CA/Browser Forum permite para certificados de IP; os desafios por e-mail e DNS não são permitidos.
Instale o certificado emitido no seu servidor e conclua um teste de handshake.
Validade dos Certificados IP e a Transição para Prazos Mais Curtos
Todos os certificados TLS de confiança pública, incluindo os certificados IP, estão sujeitos à Votação SC-081v3 do CA/Browser Forum, aprovada em abril de 2025 e a ser implementada de forma faseada. A validade máxima reduz para 200 dias a 15 de março de 2026, depois para 100 dias a 15 de março de 2027, e para 47 dias a 15 de março de 2029.
Para os compradores de certificados IP que gerem um pequeno número de certificados, a mudança implica renovações mais frequentes; para implementações de grande escala, a automação ACME começa a parecer menos opcional e mais uma infraestrutura base.
Perguntas frequentes
Não. Apenas IPs públicos e roteáveis são elegíveis. DV e OV estão disponíveis para certificados de IP, mas EV não: o CA/Browser Forum não permite Validação Estendida para IPs.
Copiar link
Sim. O GoGetSSL Public IP SAN suporta até 250 entradas SAN combinando IPs públicos e nomes de domínio totalmente qualificados num único certificado. Para configurações apenas com domínios em vários hostnames, consulte a gama de certificados Multi-Domain SAN.
Copiar link
Não. Os mesmos protocolos TLS 1.2 e 1.3, as mesmas opções de chave RSA e ECC, os mesmos níveis de garantia.
Copiar link
Uma CA pública não pode emitir certificados para IPs privados. O Sectigo Private PKI é a solução para ambientes de produção; certificados autoassinados são adequados apenas para testes internos sem necessidade de confiança.
Copiar link
Cerca de 5 minutos para o GoGetSSL Public IP SAN (DV). O Sectigo e o Comodo InstantSSL Pro levam 1-2 dias úteis porque a Validação Empresarial requer verificação de documentos da empresa.
Copiar link
Não sabe o que precisa?
Utilize o nosso SSL Wizard para selecionar as suas opções e ajudamo-lo a encontrar o certificado SSL certo.
Não sabe o que precisa?

