Let's Encrypt 为IP地址免费颁发TLS/SSL证书

以提供免费TLS/SSL证书而闻名的证书颁发机构（CA）Let's Encrypt，目前已开始为IP地址颁发免费数字证书。

为IP地址免费颁发TLS/SSL证书的服务Let's Encrypt并非首家提供此类服务的CA。在此之前，PositiveSSL、Sectigo和GeoTrust等公司都提供用于IP地址的TLS/SSL证书，价格大约在每年288元到648元人民币之间。而Let's Encrypt则提供了免费ssl服务。

对于拥有静态IP地址并希望托管网站的用户来说，IP地址证书提供了一种为访问者提供安全连接数字标识符的方式，同时避免了域名注册的象征性费用。

为何需要为1.1.1.1这样的IP地址颁发证书？

通常，网络用户通过在浏览器中输入域名（https://www.topssl.cn）来访问网站。浏览器会查询域名系统（DNS），将基于文本的名称映射到数字IP地址，然后尝试连接到关联的站点。

https://www.topssl.cn的IPv4地址（104.18.4.22）通常会导致错误。然而，如果我们获取了IP地址证书并正确配置了服务器，读者就可以仅使用数字地址进行访问。Cloudflare就利用其1.1.1.1 IP地址实现了这一点——如果用户在浏览器中只输入点分四段的IP地址，该地址应该会重定向到 https://one.one.one.one。

虽然使用IP地址查找网站并没有令人信服的理由，但也有充分的理由不这样做。例如，当网站后端发生更改时，DNS名称可以保持不变——该名称只需简单地指向另一个IP地址即可。如果网站访问者将网站与特定的IP号码关联，后端更改可能需要HTTP重定向规则，将访问者从旧IP地址路由到新IP地址，这可能会对加载时间和搜索引擎优化产生负面影响。

Let's Encrypt首席工程师Aaron Gable在一篇博客文章中解释说，更倾向于使用域名而非IP地址的另一个原因是IP地址经常变化——它们通常由ISP动态分配给住宅互联网用户，因此在不同会话之间可能会有所不同。虽然这不会影响网站，但这确实意味着人们对数字IP地址的所有权意识会有所减弱。

域名还有既定的仲裁规则，即统一域名争议解决政策（UDRP）。IP地址权利纠纷则可能会变得非常混乱。

尽管存在这些警告，但IP证书自2017年以来就一直是一项被请求的功能，并且Gable看到了可能需要IP地址证书的几种潜在场景。

首先，托管服务提供商可能希望提供一个默认登录页面，以防有人在浏览器中输入公司的IP地址，就像Cloudflare对1.1.1.1所做的那样，以及Google对8.8.8.8所做的那样。

其次，网络域名注册商可能希望提供一种安全连接到网站的方法，而无需支付域名费用。域名费用通常每年在72元到360元人民币之间，具体取决于域名注册商。

Gable还建议，支持超安全DNS over HTTPS（DoH）协议的服务器可能会受益于IP地址证书。其他潜在用途包括为某些家用设备（如网络连接存储服务器）提供安全的远程访问（这已经可以通过WireGuard或Tailscale等隧道技术实现），以及保护用于服务器管理或互连的短暂连接。

为何说它只是昙花一现？

这是因为证书快速过期几年后将成为行业常态，这项技术可以降低攻击者使用伪造证书造成损害的可能性。这种欺诈防御的缺点是需要使用像Certbot这样的ACME客户端来自动化证书续订流程。

Let's Encrypt将其IP地址证书的有效期限制为六天，作为一项安全措施。今年早些时候，它对其他短期证书也采用了同样的期限。

据Gable称，IP地址证书目前已在Let's Encrypt的Staging（测试）环境中可用，并将于今年晚些时候全面上市。