Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Техническое: обновление “короткоживущих” TLS-сертификатов для IP-адресов
Кстати, насчёт “быстрых” TLS-сертификатов для IP-адресов, которые подходят для веб-сайтов без доменных имён. Я уже некоторое время тестирую схему с таким сертификатом на сайте под IP-адресом https://185.39.19.199/.
Напишу, как там что настроено (это виртуальная машина, понятно). ОС Debian 13, веб-сервер – nginx 1.26.3, из пакетов Debian; я установил актуальную версию 5.6.0 утилиты certbot из snap (предварительно поставив snap, конечно) и настроил профиль аккаунта с использованием директории web-root, которую обслуживает nginx для хоста по умолчанию. Поскольку нужно принимать и обрабатывать HTTP по IP-адресу, в nginx я настроил единственный блок server для произвольных имён (default_server на 80 и 443, кроме того, на всякий случай, заведомо недоступный “_” в server_name). Пути к сертификату и ключу – указывают туда, где ссылки на них выкладывает certbot: /etc/letsencrypt/live/185.39.19.199/fullchain.pem.
Сама утлита certbot запускается по таймеру Systemd, а чтобы nginx подхватывал новый сертификат после его выпуска, я добавил в /etc/letsencrypt/renewal/185.39.19.199.conf строку “renew_hook = systemctl restart nginx”, блок “[renewalparams]”.
Собственно, это всё: такая конфигурация работает, а новые сертификаты выпускаются автоматом до истечения действующего. (Один из старых сертификатов я даже отозвал, в порядке эксперимента, указав причину отзыва superseded – это сработало, но выяснилось, что, судя по CRL, практически никто при отзыве не указывает код причины.)
Да, кроме IP-адреса я ещё завёл на тот же сервер доменное имя вида 185.39.19.199.zone, чтобы протестировать заказ сертификатов для “смешанных” имён: и IP-адрес, и DNS-имя. Это тоже работает – можете проверить по составу TLS-сертификата:
DNS Name: 185.39.19.199.zone IP Address: 185.39.19.199
Схема та же, как и с IP-адресом, но первоначально нужно указать при вызове certbot доменное имя при помощи опции -d (дополнительно к IP-адресу). Проверка DCV будет выполнена и для IP-адреса, и для доменного имени, а сертификат выпустится с двумя именами в блоке SAN.
Адрес записки: https://dxdt.blog/2026/05/12/18193/
Похожие записки:
- Возможное обновление алгоритмов DNSSEC в корне DNS
- Пресертификаты в Certificate Transparency
- Обобщение "хендшейков" и сокращение этапов согласования
- Google и телефонные номера для авторизации
- Постквантовая криптография и планы по быстрому переходу
- Журнал "Интернет изнутри"
- Администрация США и мессенджеры
- Сертификаты и их цепочки в вебе
- CVE-2024-31497 в PuTTY
- Техническое: dxdt.blog и имена с адресами внутри DNS
- Маскирование криптографических ключей в памяти
Новый 
1 комментарий от читателей
1 <t> // 12th May 2026, 20:05 // Читатель Бот написал:
https://iplookup.flagfox.net/?host=185.39.19.199
Имя хоста 185.39.19.199.zone.
Страна Объединенные Арабские Эмираты
Написать комментарий