Let’s Encrypt выпустили первый, для данного удостоверяющего центра, TLS-сертификат для IP-адреса. Это сертификат сроком валидности шесть суток, выпущен от CA Let’s Encrypt/E6. В сертификате пустое поле Subject (это важно, если вы, вдруг, проверяете сертификаты по Subject), отсутствует указание на OCSP-респондер, но всё ещё есть ссылка на точку раздачи CRL (список отзыва сертификатов). TLS-сертификаты для IP-адресов выпускались и раньше, но до сих пор являются большой редкостью.
IPv6-адрес, как и положено, размещён в SAN (Subject Alternative Name). SAN — это расширение в TLS-сертификатах, предназначенное для указания не только дополнительных DNS-имён, как можно подумать, но и IP-адресов.
Проверять возможность выпуска сертификатов для IP-адресов Let’s Encrypt предлагает на staging-окружении. Для подтверждения права управления IP-адресом допускаются только HTTP-валидация и экзотический метод TLS-ALPN. DNS-валидация для IP-адресов не подходит, так как работает на другом уровне: для подтверждения управления IP-адресом нельзя использовать какую бы то ни было DNS-зону.
Интересно, что в том же сертификате указано несколько DNS-имён. Некоторые из них удачно имитируют IPv6-адреса, а поэтому содержат аж восемь уровней DNS-лейблов (максимальный уровень, допускаемый для сертификатов Let’s Encrypt, — десятый).
Источник: habr.com