HTTPS 基于 IP 地址而不是域名？

Question 1

有许多原因可以证明您的要求是个坏主意，并且您不太可能获得这样的证书。

只有那些拥有自己 IP 范围的人才能合法地申请此类证书。如果您的 ISP 只分配了一个 IP，则该 IP 地址仍属于您的 ISP。CA 无法知道该 IP 地址将分配给您多长时间，因此他们无法合法地颁发证书。
在 URL 中使用 IP 地址并不是一个好的做法，并且会使部分用户无法访问您的网站。特别是有些用户只能通过 NAT64 访问仅支持 IPv4 的服务器。这类用户永远无法访问带有 IPv4 地址的 URL。
证书仅证明您有权合法地为证书中的域名提供服务。用户仍有责任确保他们访问的是他们期望的域名。使用您的方案，这意味着用户必须记住 IP 地址并识别 URL 中是否出现了错误的 IP 地址。
由于 IP 地址的最高有效部分在前，而域名的最高有效部分在后，因此，用于验证内容来源的代码存在仅适用于带有 IP 地址的 URL 的错误的风险很大。

Answer

有许多原因可以证明您的要求是个坏主意，并且您不太可能获得这样的证书。

只有那些拥有自己 IP 范围的人才能合法地申请此类证书。如果您的 ISP 只分配了一个 IP，则该 IP 地址仍属于您的 ISP。CA 无法知道该 IP 地址将分配给您多长时间，因此他们无法合法地颁发证书。
在 URL 中使用 IP 地址并不是一个好的做法，并且会使部分用户无法访问您的网站。特别是有些用户只能通过 NAT64 访问仅支持 IPv4 的服务器。这类用户永远无法访问带有 IPv4 地址的 URL。
证书仅证明您有权合法地为证书中的域名提供服务。用户仍有责任确保他们访问的是他们期望的域名。使用您的方案，这意味着用户必须记住 IP 地址并识别 URL 中是否出现了错误的 IP 地址。
由于 IP 地址的最高有效部分在前，而域名的最高有效部分在后，因此，用于验证内容来源的代码存在仅适用于带有 IP 地址的 URL 的错误的风险很大。

Question 2

GlobalSign 的 OrganizationSSL 证书包括对公共 IP 地址的支持：https://www.globalsign.com/en/ssl/organization-ssl/

请注意，这不仅必须是公共 IP 地址，还必须是您自己的（按照成熟）

Answer

GlobalSign 的 OrganizationSSL 证书包括对公共 IP 地址的支持：https://www.globalsign.com/en/ssl/organization-ssl/

请注意，这不仅必须是公共 IP 地址，还必须是您自己的（按照成熟）

相关内容