SSL Zertifikat auf IP Adressen ausstellen - ist das möglich?

Eine verschlüsselte Datenübertragung gehört inzwischen zum Standard im World Wide Web. Kaum eine Website kommt noch ohne SSL-Zertifikat aus. In der Regel werden die Zertifikate auf die jeweilige Domain ausgestellt. Doch ist es möglich, diese auch auf eine IP-Adresse auszustellen?

Wie ein SSL-Zertifikat funktioniert

Eigentlich ist das SSL-Protokoll inzwischen überholt. Üblicherweise findet die Verschlüsselung heute nur noch mit TLS statt. Die Unterschiede beider Protokolle (SSL/TLS) sind in einem separaten Beitrag ausführlich dargelegt. Mann spricht dennoch weiterhin von einem SSL-Zertifikat, weil die meisten Internetnutzer verstehen, dass es sich dabei um eine Art Verschlüsselung handelt.

Der erste Schritt, um ein SSL-Zertifikat auf einem Server zu installieren, ist die Zertifizierungsanforderung. Diese wird auch Certificate Signing Request (CSR) genannt. Dabei handelt es sich um eine kleine Datei, welche die Informationen, die zur Erstellung des Zertifikats notwendig sind, enthält.

Neben dem öffentlichen Schlüssel betreffen dies hauptsächlich verschiedene Kontaktdaten, die der Identifizierung des Antragstellers dienen. Deshalb sind in der CSR unter anderen folgende Datensätze enthalten:

• Common Name (CN) - der Fully qualified Domain Name FQDN, der Website, die verschlüsselt werden soll
• Organization (O) - der Name des Unternehmens oder der Institution, die das SSL-Zertifikat beantragt
• State (S) - Bundesland oder Region des Antragstellers
• Country (C) - das Land, in dem der Antragsteller ansässig ist
• die E-Mail-Adresse des Antragstellers

Die CSR wird an die Zertifizierungsstelle (CA) übermittelt. Diese überprüft die Identität des Antragstellers und stellt das Zertifikat aus, wenn sie die Informationen bestätigen kann.

Anschließend erhält der Antragsteller das SSL-Zertifikat, welches auf die entsprechende Domain ausgestellt ist, die er in der Zertifizierungsanforderung (CSR) ausgewiesen hat. Nachdem er es auf dem Server installiert hat, kann die Website nur noch über HTTPS aufgerufen werden.

Bei jeder Anfrage antwortet die Website nun mit dem Zertifikat inklusive des öffentlichen Schlüssels. Der entsprechende Browser prüft darauf folgend, ob er der ausstellenden CA vertrauen kann und baut die verschlüsselte Verbindung auf, wenn alles in Ordnung ist.

Kann ein SSL-Zertifikat auch auf eine IP-Adresse ausgestellt werden?

Die technische Grundlage für jede Domain ist eine IP-Adresse. Diese wird durch einen DNS-Server in eine lesbare Adresse aufgelöst.

Durch die Identitätsprüfung validiert die CA die Vertrauenswürdigkeit des Antragstellers. Es ist üblich, dass die Domain auch dem Antragsteller gehört. Ein Webshop beispielsweise wird versuchen, den eigenen Markennamen zu sichern. Die IP-Adresse ist dem Shop-Inhaber dabei nicht so wichtig und er überlässt die Zuordnung seiner Domain dem Hosting-Anbieter.

Das Problem dabei ist allerdings, dass die Zertifizierungsstelle den Antragsteller nicht mehr eindeutig zuordnen kann. Bei einer WHOIS-Abfrage der IP-Adresse wird sie im oberen Beispiel die Kontaktdaten des Hostinganbieters erhalten und nicht des Shop-Inhabers.

Sind die oberen Punkte beachtet, kann statt einem FQDN auch eine IP-Adresse in der CSR angegeben werden.

Informiere dich auch, ob man für jede Domain ein eigens SSL Zertifikat braucht?

Bildnachweis: Gerd Altmann auf Pixabay