DV CA能颁发IP证书吗？

Question

据我所知，根据CA/B，如果验证挑战得到满足，CA可以向公共IP地址颁发证书。但是DV CA可以颁发IP证书吗？(如果他们的CA策略允许) CA/B是否允许DV CA颁发IP证书？

(因为大多数CA提供者只向OV身份颁发IP证书.)

Answer 1

实际上，由于CA/B的规定，CA不能向IP颁发DV证书，当我得到一个包含IP地址作为SAN的免费证书时，我感到很惊讶。这就是为什么我发布了这个问题(并在推特上窃听https://stackexchange.com/users/1513078/scott-helme，以及创建一个Bugzilla请求)。结果我错了。

引用韦恩的话(来自Mozilla Bugzilla)：

BR 3.2.2.5.1允许CA通过'HTTP文件验证‘为IP地址颁发DV证书，如下所示:确认申请人对所请求的IP地址的控制，通过确认文件或网页内容中包含的请求令牌或随机值的存在，该请求令牌或随机值的形式为“/.众所周知/pki-验证”目录下的元标记形式，或为验证IP地址的控制而向IANA注册的另一条路径，该IP地址是CA通过HTTP/HTTPS在授权端口上访问的。请求令牌或随机值不得出现在请求中。3.2.2.5.1.商定--如果使用随机值，CA在更改网站时，应提供证书请求所特有的随机值，并且在(i) 30天或(ii)如果申请人提交证书请求后，不应使用随机值，允许重复使用与证书相关的经验证的信息的时间框架(如本文件第4.2.1节)。

因此CA可以在新的BR (具体:抽签SC7,2019年2月通过)下颁发IP证书。https://cabforum.org/2019/02/09/ballot-sc7-update-ip-address-validation-methods/)，它只完成HTTP。

对我自己的问题的最终答案是:是的，CA/B确实允许it作为DV证书的SAN被包括在内(考虑到它通过了验证要求)。

Answer 2

CA/B是否允许DV CA颁发IP证书？

不，CAB论坛基线要求没有提到IP地址的DV或OV要求。但是，验证过程不允许向IP地址颁发DV证书。你必须证明你拥有指定的公共IP地址。IANA和委托的区域书记官长(RIPE、ARIN等)只将IP地址租赁给组织。作为私人用户，您可以从ISP租赁IP地址，但不能向CA证明您拥有此IP地址。因此，私人不能通过IP地址所有权验证程序。

以下是指向相关CAB论坛页面的链接：https://cabforum.org/2019/02/09/ballot-sc7-update-ip-address-validation-methods/

还有一些摘录：

IP地址联系人:在IP地址注册机构注册为有权控制一个或多个IP地址的使用方式的人(S)或实体(IP)。IP地址注册管理局(IP地址注册管理局)：因特网分配号码局(IANA)或区域因特网注册中心(RIPE，APNIC，ARIN，AfriNIC，LACNIC)。<...> CA可以向多个收件人发送本节下标识的电子邮件、传真、短信或邮政邮件，条件是IP地址注册管理局将每个收件人标识为代表使用电子邮件、传真、短信或邮政邮件验证的每个IP地址的IP地址联系人。

考虑到这一点，只要您没有被IP地址注册机构识别，您就很难证明您在请求中拥有IP地址。