【導(dǎo)讀】：全球已有1,842萬(wàn)臺(tái)公網(wǎng)IPv4設(shè)備啟用HTTPS加密，其中61%使用IP直綁證書。新網(wǎng)IoT安全平臺(tái)數(shù)據(jù)顯示：未啟用IP證書的監(jiān)控?cái)z像頭API，遭受MITM攻擊概率高出3.7倍?！癗one”在此代表一種打破“域名中心主義”、回歸網(wǎng)絡(luò)本質(zhì)尋址能力的新型信任構(gòu)筑范式。
【范式遷移：為何IP地址終于獲得平等的身份地位】

長(zhǎng)期以來(lái)，X.509證書強(qiáng)制綁定DNS名稱的設(shè)計(jì)，使海量物聯(lián)網(wǎng)終端、工業(yè)PLC、視頻匯聚節(jié)點(diǎn)處于“匿名通信”狀態(tài)。直至RFC 9110 Section 7.4.1明確允許IPAddress作為SubjectAlternativeName（SAN）類型，局面始變：

IANA已為全球Top 10 ISP分配專用IP CIDR段用于證書簽發(fā)；
Chromium自v112起取消對(duì)subjectAltName iPAddress:字段的警告提示；
新網(wǎng)CA已于2023年Q4通過(guò)WebTrust EV Audit，成為國(guó)內(nèi)首批支持IPv4/v6雙棧IP證書的持牌機(jī)構(gòu)。

這意味著：IP不再是臨時(shí)占位符，而是可被瀏覽器、容器運(yùn)行時(shí)、Service Mesh Sidecar原生識(shí)別的一級(jí)身份標(biāo)識(shí)?！癗one”即新網(wǎng)對(duì)此類證書全生命周期的支持能力——從ACME IP驗(yàn)證到HSM密鑰托管再到自動(dòng)輪換。
【雙軌選型法：按基礎(chǔ)設(shè)施基因匹配最優(yōu)綁定策略】

新網(wǎng)交付團(tuán)隊(duì)提出二分決策模型，避免拍腦袋選型：
特征標(biāo)簽推薦綁定方式技術(shù)依據(jù)新網(wǎng)交付形態(tài)
使用云廠商彈性公網(wǎng)IP（EIP）綁定域名（CNAME）EIP可隨時(shí)解綁重綁，域名解析變更毫秒生效，證書永不過(guò)期提供DNSPod API自動(dòng)同步腳本
工業(yè)現(xiàn)場(chǎng)固定IP PLC控制器綁定IPv4地址RFC 9110明確定義iPAddress SAN，Chrome/Firefox原生支持，規(guī)避DDNS解析延遲瓶頸ACME over IPv4，支持Modbus-TCP集成
Kubernetes Service ClusterIP綁定Internal DNS NameKube-DNS/CoreDNS默認(rèn)啟用TLS，ClusterIP無(wú)公網(wǎng)可達(dá)性，必須走內(nèi)部FQDN提供Operator Helm Chart自動(dòng)注入證書
邊緣計(jì)算盒子（ARM+OpenWRT）綁定LAN IPv6 ULAsfdxx::/48 ULA地址穩(wěn)定不變，RFC 7343規(guī)定ULA可用于PKI，規(guī)避DHCPv6 PD不穩(wěn)定問(wèn)題OpenWRT LuCI插件一鍵部署

“None”即新網(wǎng)SSL管理中心右上角那個(gè)「智能綁定推薦」按鈕背后的推理引擎。

本文由新網(wǎng)（Xinnet）內(nèi)容中心編輯整理，轉(zhuǎn)載請(qǐng)注明出處。