RPK 基础设施可以为 IP 签署 SSL 证书吗?浏览器可以识别它吗?

RPK 基础设施可以为 IP 签署 SSL 证书吗?浏览器可以识别它吗?

理论上,每个 AS、ISP 提供商或其他任何机构都持有一份证书,证明其拥有分配给自己的地址范围。这就是资源公钥基础设施 (RPKI),它似乎实施得很好。如果我理解正确的话,ISP 应该使用它来签署路由声明和与 BGP 相关的东西。

现在,如果我需要为给定的机器提供 HTTPS 或其他类型的基于 SSL 的证书,并且要使用 IP 地址访问该机器,那么 AS 是否可以使用其证书来签署我的 csr,以声明我的机器与该 IP 相关联?

问题至少有三个方面:我不知道这样的 RPKI 证书在技术上是否允许进行这种签名,我不知道政策是否允许,而且我不知道浏览器是否会接受基础设施的 CA 链。

相关内容