理论上,每个 AS、ISP 提供商或其他任何机构都持有一份证书,证明其拥有分配给自己的地址范围。这就是资源公钥基础设施 (RPKI),它似乎实施得很好。如果我理解正确的话,ISP 应该使用它来签署路由声明和与 BGP 相关的东西。
现在,如果我需要为给定的机器提供 HTTPS 或其他类型的基于 SSL 的证书,并且要使用 IP 地址访问该机器,那么 AS 是否可以使用其证书来签署我的 csr,以声明我的机器与该 IP 相关联?
问题至少有三个方面:我不知道这样的 RPKI 证书在技术上是否允许进行这种签名,我不知道政策是否允许,而且我不知道浏览器是否会接受基础设施的 CA 链。