Un certificat SSL pentru o adresă IP securizează orice adresă IPv4 sau IPv6 publică și rutabilă pe internetul deschis, cu IP-ul listat în câmpul SAN al certificatului, astfel încât browserele să aibă încredere în conexiune. CA-urile publice emit aceste certificate pentru servere și servicii accesate prin IP, nu prin nume de domeniu. Prețurile certificatelor de mai jos încep de la 44,33 $/an, cu opțiuni pentru un singur IP public sau până la 250 de IP-uri pe un singur certificat.


Ce face un certificat SSL pentru o adresă IP

Un certificat SSL pentru o adresă IP este un certificat TLS X.509 de încredere publică, emis pentru o adresă IPv4 sau IPv6 publică, nu pentru un nume de domeniu. Pentru ca browserele să aibă încredere în conexiune, IP-ul trebuie să apară în câmpul Subject Alternative Name (SAN) ca intrare de tip iPAddress: câmpul X.509 pe care CA-urile și browserele îl verifică în timpul handshake-ului TLS. Resolverul Cloudflare de la https://1.1.1.1 este un exemplu familiar.
HTTPS peste un IP funcționează la fel ca HTTPS peste un domeniu. Nu există nicio diferență de protocol, niciun handshake mai slab, niciun compromis în privința puterii de criptare. Un certificat IP folosește aceleași protocoale TLS 1.2 și TLS 1.3 și aceeași criptare (AES-256 cu chei RSA de 2048 de biți sau mai puternice, ori ECC echivalent) ca un certificat de domeniu la același nivel de validare.
IP-uri publice vs. private: ce este permis
Doar IP-urile publice pot fi securizate cu un certificat SSL de încredere publică. Din noiembrie 2015, Cerințele de bază ale CA/Browser Forum interzic CA-urilor publice să emită certificate pentru intervale de IP private sau nume de gazdă exclusiv interne. Printre exemple se numără intervalul 10.0.0.0/8, 172.16.0.0-172.31.255.255, 192.168.0.0/16 și convențiile de denumire care se termină în .local, .internal sau .corp. Niciunul dintre acestea nu este unic la nivel global, astfel că un certificat emis pentru ele ar putea fi uzurpat pe orice altă rețea care folosește aceeași adresă.
Pentru un IP privat sau intern, un certificat autosemnat funcționează pentru testare, iar Sectigo Private PKI reprezintă soluția pentru mediul de producție: un CA privat al cărui root îl instalați pe propriile dispozitive.
Cazuri de utilizare frecvente pentru certificatele SSL pe adresă IP
Un certificat IP se potrivește oricărei configurații în care serviciul este accesat prin IP, nu prin DNS. Cazurile frecvente includ:
- Servere de e-mail și gateway-uri SMTP/IMAP care expun endpoint-uri de administrare sau de relay prin IP, acolo unde un domeniu nu se potrivește modelului de rutare.
- Dispozitive IoT, aparate NAS, routere și firewall-uri cu interfețe de administrare accesibile public: dispozitivul are un IP, dar nu are o înregistrare DNS.
- Servicii back-end în cloud și API-uri expuse prin IP pentru integrări cu parteneri sau automatizare internă.
- Load balancere și proxy-uri inverse care rulează pe IP-uri dedicate în fața mai multor servicii interne.
- Aplicații legacy și clienți mai vechi care nu suportă Server Name Indication (SNI) și au nevoie de un certificat IP pentru a negocia TLS.
Cum să obții un certificat SSL pentru adresa ta IP
Pentru un singur IP public, alegeți Comodo InstantSSL Pro sau Sectigo InstantSSL Pro (Business Validation). Pentru mai multe IP-uri pe un singur certificat (până la 250 de intrări SAN), alegeți GoGetSSL Public IP SAN (Domain Validation).
Pentru GoGetSSL Public IP SAN, lăsați câmpul Common Name necompletat și listați adresele IP în secțiunea SAN. Pentru InstantSSL Pro, introduceți adresa IP publică ca Common Name.
Verificați controlul asupra IP-ului folosind DCV bazat pe fișiere HTTP: CA vă oferă un fișier text mic pe care trebuie să îl găzduiți la o cale fixă pe serverul accesibil la acel IP. Aceasta este singura metodă de validare pe care CA/Browser Forum o permite pentru certificatele IP; provocările prin e-mail și DNS nu sunt permise.
Instalați certificatul emis pe serverul dvs. și efectuați un handshake de test.
Valabilitatea certificatelor IP și tranziția spre durate de viață mai scurte
Orice certificat TLS de încredere publică, inclusiv certificatele IP, intră sub incidența CA/Browser Forum Ballot SC-081v3, adoptat în aprilie 2025 și implementat conform unui calendar etapizat. Valabilitatea maximă scade la 200 de zile pe 15 martie 2026, apoi la 100 de zile pe 15 martie 2027 și la 47 de zile pe 15 martie 2029.
Pentru cei care gestionează un număr mic de certificate IP, această schimbare înseamnă reînnoiri mai frecvente; pentru implementările la scară mare, automatizarea ACME începe să pară mai puțin opțională și mai mult o infrastructură de bază.
Întrebări frecvente
Nu. Doar IP-urile publice, rutabile sunt eligibile. DV și BV sunt ambele disponibile pentru certificatele IP, dar EV nu este: CA/Browser Forum nu permite Extended Validation pentru IP-uri.
Copiați link-ul
Da. GoGetSSL Public IP SAN suportă până la 250 de intrări SAN combinând IP-uri publice și nume de domenii complet calificate pe un singur certificat. Pentru configurații doar cu domenii pe mai multe hostname-uri, consultați gama de certificate Multi-Domain SAN.
Copiați link-ul
Nu. Aceleași protocoale TLS 1.2 și 1.3, aceleași opțiuni de chei RSA și ECC, aceleași niveluri de garanție.
Copiați link-ul
Un CA public nu poate emite certificate pentru IP-uri private. Sectigo Private PKI este soluția pentru mediile de producție; certificatele auto-semnate sunt potrivite doar pentru testare internă fără cerințe de încredere.
Copiați link-ul
Aproximativ 5 minute pentru GoGetSSL Public IP SAN (DV). Sectigo și Comodo InstantSSL Pro necesită 1-2 zile lucrătoare, deoarece Business Validation implică verificarea documentelor companiei.
Copiați link-ul
Nu știi de ce ai nevoie?
Folosește SSL Wizard-ul nostru pentru a-ți selecta opțiunile și te vom ajuta să găsești certificatul SSL potrivit.
Nu știi de ce ai nevoie?

