Kami akan menjawab ‘Ya Anda bisa, namun kami tidak merekomendasikannya.’ Jika alamat IP Anda mengubah sertifikat SSL/TLS Anda maka akan menjadi tidak berguna lagi.
Namun, apabila Anda benar-benar ingin menerbitkan sebuah SSL/TLS dari Otoritas Sertifikat (CA) terpercaya untuk mengamankan alamat IP, baik menjadi common name atau SAN di dalamnya, Anda harus mengetahui ketentuan, kondisi,dan batasan khusus untuk dipertimbangkan kembali:
- Alamat IP harus bersifat publik (Mis: 18.236.49.115).
- Harus organisasi atau perusahaan Anda yang memiliki otorisasi terhadap alamat IP tersebut, bukan provider hosting.
- Alamat IP harus terdaftar pada Whois IP Address Lookup, agar CA dapat memverifikasi; kepemilikan alamat IP, Organisasi atau Perusahaan yang memilikinya, alamat fisik perusahaan, email pengelola.
- Sertifkat SSL/TLS OV (Organization Validation) dengan tipe Single Domain dan Multi Domain yang hanya bisa mengamankan IP Address.
- Kelengkapan legalitas perusahaan untuk divalidasi.
- Alamat IP dapat diletakkan sebagai common name maupun SAN.
- Seluruh versi Windows mendukung jika Anda menjadikan alamat IP sebagai common name. Namun, Windows 8.1 dan versi lama lainnya tidak mendukung jika Anda menjadikan alamat IP sebagai SAN.
- Sertifikat SSL/TLS tidak bisa diterbitkan untuk Alamat IP yang direserved (Mis: 10.0.0.0), Privasi (IPv4 dan IPv6), Intranet atau Internal Server Name, server lokal dengan akhiran domain non-public.
Semua ketentuan sudah terpenuhi, tapi ingin membeli sertifikat SSL/TLS jenis DV atau EV untuk mengamankan alamat IP nya.
CA tidak menerbitkan sertifikat SSL/TLS DV maupun EV untuk mengamankan alamat IP. Karena akan menimbulkan ancaman keamanana tertentu (alamat IP tidak unik seperti domain) dan karena adanya risiko keamanan yang tinggi untuk penggunaan SSL/TLS EV.
Bisakah sertifikat SSL/TLS diterbitkan untuk alamat IP privat?
Pada Oktober 2016, CA/B Forum mengumumkan bila SSL/TLS sudah TIDAK bisa diterbitkan untuk alamat IP privat dan server lokal tanpa akhiran domain yang non-public dan meminta seluruh CA untuk mencabut sertifikat SSL/TLS tersebut. Karena alamat IP privat maupun server lokal tidak unik, mereka dengan mudah dapat ditiru oleh attackers untuk melakukan serangan Man-In-the-Middle-Attack dan mendapatkan akses yang tidak terotorisasi ke pusat data. Demikian’lah, CA tidak lagi menerbitkan sertifikat untuk mengamankan alamat IP privat.
Namun, Anda dapat menggunakan dan menerbitkan sertifikat Self-Signed untuk mengamankan alamat IP privat dan jaringan intranet, kok.