Комментарии 19
Можно сюда каких-то умных комментариев навалить чтобы понятно было что это такое и какими благами может обернуться?
Возможность получить сертификат, не имея домена.
Например, у меня есть сервер и на нём крутятся некие веб-сервисы для личного пользования. Я хочу прикрутить HTTPS, но не хочу тратиться на домен, а бесплатный домен получить с каждым годом всё сложнее.
т.е. взять один домен для сервера или пачки серверов, а на субдоменах размещать сервисы, уже не подходит, ну и с доменами, как мне кажется, удобнее настраивать тот же nginx, кода на сервере несколько сервисов.
но не хочу тратиться на домен
В том и суть, что я не желаю платить деньги даже за один домен. Мне он не нужен. И для выдачи сертификата домен необязателен: коммерческие УЦ спокойно выдают сертификат для IP-адреса. Теперь и LE сможет.
https://sslip.io/ позволяет "получить домен для ip адреса" бесплатно и моментально. Никакая дополнительная конфигурация не требуется. Let’s Encrypt для этого домена сертификат успешно выдаёт.
Для адреса 1.1.1.1 вы получите домен 1.1.1.1.sslip.io
Тебе нужно купить домен, потом завести зону на DNS сервере, все это оплачивать и обслуживать, а тебе всего лишь нужен шифрованный http эндпоинт для каких то копеечных личных целей.
почти все сервисы динамического dns дают бесплатный домен третьего уровня
Я получал сертификат на свой IP через ZeroSSL, но бесплатно это можно было сделать всего три раза. После чего купил домен для своего домашнего сервера и настроил бесплатное получение сертификата Let’s Encrypt
Да, для IPv4 варианты есть условно-бесплатные или дешевые, кому надо было для "домашних кейсов" те пользовались. Но при детальном рассмотрении никто из них не поддерживает(л) IPv6, даже если это явно не указаывалось, и где оператор на чат боте хлопая глазками сообщал что все тип-топ (в нескольких местах приходилось делать рефанд). Для IPv6 нашел только рабочий вариант от ssl.com тот что ucc/san за $177 в год без скидки.
сходу только что-то вроде DoH приходит в голову
я мало что понял из очень сумбурной статьи (вообще возможно ИИ писал ее)...но кто понял суть, можете подсказать; вот допустим есть у меня сертификат на ip, при этом на этом ip у меня есть некоторые домены...если я теперь захожу на эти домены через браузер по https, нужно ли мне для каждого домена отдельно сертификат получать или достаточно того который на ip присутствует?
Сертификат, выпущенный для IP-адреса, не будет автоматически работать для всех доменов, привязанных к этому IP.
Но ты сможешь (я так думаю) выпустить один мультидоменный сертификат, содержащий как домены, так и IP-адрес, перечислив все нужные варианты в своем acme-клиенте, как и всегда это и делалось, допустим acme.sh --issue -d example.com -d *.example.com -d 11.33.33.77 (разве что с указанием различных методов валидации)
Живой пример:
если ты заходишь через домен, то нужен доменный серт, с ip та же история
сертификат на ip нужен если ты хочешь открывать в браузере https://1.2.3.4, и чтобы браузер из коробки не ругался.
других применений у него нет, если открываешь в браузере https://domain.name, то браузер не смотрит сертификат на ip
Кажется единственное важное применение это ssl при DoH (DNS over HTTPS) и/или начальной установки VPN туннеля без никакого классического DNS.
Кажется именно таким будет мой юзкейс когда это заработает.
Let's Encrypt выпустили свой первый сертификат для IP-адреса