SSL-сертификат для IP-адреса защищает любой публичный маршрутизируемый адрес IPv4 или IPv6 в открытом интернете: IP указывается в поле SAN сертификата, что позволяет браузерам доверять соединению. Публичные CA выдают такие сертификаты для серверов и сервисов, доступных по IP, а не по доменному имени. Цены на представленные ниже сертификаты начинаются от $44.33/год; доступны варианты для одного публичного IP или до 250 IP на одном сертификате.


Что делает SSL-сертификат для IP-адреса

SSL-сертификат для IP-адреса — это публично доверенный X.509 TLS-сертификат, выданный для публичного адреса IPv4 или IPv6, а не для доменного имени. Чтобы браузеры доверяли соединению, IP должен быть указан в поле Subject Alternative Name (SAN) как запись iPAddress — именно это поле X.509 проверяют CA и браузеры в процессе TLS-рукопожатия. Знакомый пример — резолвер Cloudflare по адресу https://1.1.1.1.
HTTPS по IP-адресу работает так же, как HTTPS по домену. Никакой разницы в протоколе, никакого ослабленного рукопожатия, никаких компромиссов в стойкости шифрования. IP-сертификат использует те же протоколы TLS 1.2 и TLS 1.3 и то же шифрование (AES-256 с ключами RSA длиной 2048 бит и выше или эквивалентный ECC), что и доменный сертификат того же уровня проверки.
Публичные и приватные IP-адреса: что допустимо
Публично доверенный SSL-сертификат можно получить только для публичных IP-адресов. С ноября 2015 года Базовые требования CA/Browser Forum запрещают публичным CA выдавать сертификаты для диапазонов приватных IP или внутренних имён хостов. К ним относятся диапазон 10.0.0.0/8, адреса 172.16.0.0-172.31.255.255, диапазон 192.168.0.0/16, а также соглашения об именовании с суффиксами .local, .internal или .corp. Ни один из них не является глобально уникальным, поэтому сертификат, выданный для такого адреса, может быть подделан в любой другой сети, использующей тот же адрес.
Для приватного или внутреннего IP самоподписанный сертификат подойдёт для тестирования, а Sectigo Private PKI — это решение производственного уровня: частный CA, корневой сертификат которого устанавливается на ваших собственных устройствах.
Типичные сценарии использования SSL-сертификатов для IP-адресов
IP-сертификат подходит для любой конфигурации, где доступ к сервису осуществляется по IP, а не через DNS. Типичные случаи включают:
- Почтовые серверы и SMTP/IMAP-шлюзы, предоставляющие административные или ретрансляционные конечные точки по IP, когда доменное имя не вписывается в модель маршрутизации.
- IoT-устройства, NAS-накопители, маршрутизаторы и межсетевые экраны с публично доступными административными интерфейсами: устройство имеет IP-адрес, но не имеет DNS-записи.
- Облачные серверные сервисы и API, доступные по IP для партнёрских интеграций или внутренней автоматизации.
- Балансировщики нагрузки и обратные прокси, работающие на выделенных IP перед несколькими внутренними сервисами.
- Устаревшие приложения и старые клиенты, не поддерживающие Server Name Indication (SNI) и нуждающиеся в IP-сертификате для установки TLS-соединения.
Как получить SSL-сертификат для вашего IP-адреса
Для одного публичного IP выберите Comodo InstantSSL Pro или Sectigo InstantSSL Pro (Business Validation). Для нескольких IP в одном сертификате (до 250 записей SAN) выберите GoGetSSL Public IP SAN (Domain Validation).
Для GoGetSSL Public IP SAN оставьте поле Common Name пустым и укажите IP-адреса в разделе SAN. Для InstantSSL Pro введите публичный IP-адрес в качестве Common Name.
Подтвердите контроль над IP с помощью HTTP-метода DCV на основе файла: CA предоставляет небольшой текстовый файл, который необходимо разместить по фиксированному пути на сервере, доступном по данному IP. Это единственный метод валидации, разрешённый CA/Browser Forum для IP-сертификатов; проверка через email и DNS не допускается.
Установите выданный сертификат на ваш сервер и выполните тестовое рукопожатие.
Срок действия IP-сертификатов и переход к более коротким срокам
Каждый публично доверенный TLS-сертификат, включая IP-сертификаты, подпадает под действие Ballot SC-081v3 CA/Browser Forum, принятого в апреле 2025 года и вводимого в действие поэтапно. Максимальный срок действия сократится до 200 дней с 15 марта 2026 года, затем до 100 дней с 15 марта 2027 года и до 47 дней с 15 марта 2029 года.
Для покупателей IP-сертификатов, управляющих небольшим количеством сертификатов, это означает более частые продления; для крупных развёртываний автоматизация через ACME перестаёт быть опциональной и становится базовой инфраструктурой.
Часто задаваемые вопросы
Нет. Только публичные, маршрутизируемые IP-адреса имеют право на получение сертификата. DV и BV доступны для IP-сертификатов, но EV — нет: CA/Browser Forum не допускает Extended Validation для IP-адресов.
Копировать ссылку
Да. GoGetSSL Public IP SAN поддерживает до 250 SAN записей, объединяя публичные IP-адреса и полностью квалифицированные доменные имена в одном сертификате. Для конфигураций только с доменами на множестве хостов см. линейку Multi-Domain SAN сертификатов.
Копировать ссылку
Нет. Те же протоколы TLS 1.2 и 1.3, те же варианты ключей RSA и ECC, те же уровни гарантий.
Копировать ссылку
Публичный CA не может выдавать сертификаты для частных IP-адресов. Sectigo Private PKI — это производственное решение; самоподписанные сертификаты подходят только для ненадёжного внутреннего тестирования.
Копировать ссылку
Около 5 минут для GoGetSSL Public IP SAN (DV). Sectigo и Comodo InstantSSL Pro занимают 1-2 рабочих дня, поскольку Business Validation требует проверки корпоративных документов.
Копировать ссылку
Не знаете, что вам нужно?
Воспользуйтесь нашим SSL Wizard, чтобы выбрать подходящие параметры, и мы поможем вам найти нужный SSL-сертификат.
Не знаете, что вам нужно?

