2025 年 7 月 1 日，Let’s Encrypt 宣布已成功颁发其首张 IP 地址证书，这一举措回应了用户多年来的需求。自 2015 年 Let’s Encrypt 开始颁发证书以来，用户一直希望能获得针对 IP 地址的证书，而此前仅有少数证书颁发机构提供该功能。

关于 IP 地址证书的背景知识

IP 地址是互联网的底层数字地址，互联网上的每个设备都有一个 IP 地址（尽管在现代实际应用中，可能会与其他设备共享，例如整个家庭网络共享一个公共 IP 地址）。互联网基础设施利用它们将通信路由到正确的目的地。IP 地址有两种形式，IPv4 和 IPv6，常见的如 54.215.62.21（IPv4）或 2600:1f1c:446:4900::65（IPv6）。

大多数互联网用户很少直接看到或提及 IP 地址，而是几乎总是使用域名（如letsencrypt.org）来访问互联网服务。域名系统（DNS）是互联网基础设施的一部分，负责让软件找到与特定域名相关联的 IP 地址。例如，当用户访问https://letsencrypt.org/时，Web 浏览器会通过 DNS 获取该网站的 IP 地址，然后才能连接并获取内容。

由于人们通常用域名来思考和谈论互联网服务，因此域名成为 Let’s Encrypt 等机构颁发的证书中通常列出的标识符。这也使得互联网服务能够更灵活地在多个位置托管或更改托管位置，而无需为每个服务器单独申请证书。

从原则上讲，完全可以为 IP 地址而非域名颁发证书，事实上，证书的技术和政策标准一直允许这样做，只是少数证书颁发机构小规模地提供这项服务。对于 Let’s Encrypt 来说，一直等到其他一些条件（如短期证书）就绪后，才为用户提供这一选项。

IP 地址证书不太常见的原因

• 域名的主导地位：互联网用户通常通过域名而非 IP 地址来识别服务，而且 IP 地址可能在毫无预兆的情况下 “幕后” 更改。例如，一个热门网站从一家云托管公司切换到另一家，只需更新 DNS 记录指向新主机，大多数用户根本不会注意到变化，尽管网站的底层 IP 地址已完全不同。
• IP 地址的不稳定性：IP 地址的 “所有权” 概念相对较弱，证书颁发机构对此的证明能力也有限。如果在家中通过住宅宽带连接托管内容，互联网服务提供商很可能不保证 IP 地址长期不变（大多数家庭用户拥有的是动态 IP 地址，而非静态 IP 地址），这意味着 IP 地址可能经常无预警地变更，旧地址还可能被分配给他人。
• 实际应用场景有限：大多数互联网服务运营商并不期望终端用户会有意直接通过 IP 地址连接到他们的网站。在某些情况下，当一个 IP 地址被不同的网站或设备共享时，仅通过 IP 地址连接甚至无法正常工作，此时为 IP 地址获取证书就没有太大意义。

Let’s Encrypt 用户可能使用 IP 地址证书的场景

• 托管提供商的默认页面：当有人将服务器的 IP 地址粘贴到浏览器中而不是具体的网站名称时（目前这种情况通常会在浏览器中产生错误），IP 地址证书可提供支持。
• 无域名时访问网站：这是一种在没有域名的情况下访问网站的方式，但与获取域名相比，在可靠性和便利性上会有一定代价。
• 保障 DNS over HTTPS（DoH）等基础设施服务：拥有证书使 DoH 服务器更容易向客户端证明自己的身份，这使得 DoH 用户或客户端在连接到 DoH 服务器时，更有可能强制要求使用有效的公共可信证书。
• 保障家庭设备的远程访问：即使没有域名，也能为一些家庭设备（如网络附加存储服务器和物联网设备）的远程访问提供安全保障。
• 保障云托管基础设施内的临时连接：例如，一台后端云服务器与另一台后端云服务器之间的连接，或者通过 HTTPS 对新的或短期的后端服务器进行管理的临时连接，只要这些服务器至少有一个可用的公共 IP 地址。

如何获取 IP 地址证书

当前 IP 地址证书目前已在 Staging 环境中可用，预计在 2025 年晚些时候，当短期证书全面可用时，也将在 Prod 环境中普遍可用。在全面可用之前，可能会允许有限数量的合作伙伴进行列表颁发，以获取反馈。

许多 Let’s Encrypt 客户端应用程序应该已经能够请求 IP 地址证书，但某些客户端软件可能需要进行微小的技术更改以支持这一功能。

政策与技术要求：

• Let’s Encrypt 颁发的涵盖 IP 地址的证书必须是短期证书，有效期仅约六天。因此，ACME 客户端必须支持 ACME 配置文件草案规范，并配置为请求 “shortlived” 配置文件。
• 不能使用 DNS 挑战方法来证明对 IP 地址的控制权，只能使用 http-01 和 tls-alpn-01 方法。
• 如果客户端软件请求的 IP 地址证书细节不符合这些政策，ACME 服务器将拒绝该订单，此时可能需要更新或重新配置客户端应用程序。

如果在使用过程中遇到任何问题，无论是作为客户端应用程序开发人员还是最终用户，都可以在 Let’s Encrypt 社区论坛上寻求帮助。

IP 地址证书的推出，是 Let’s Encrypt 在证书服务领域的又一次重要拓展，为那些有特殊需求的用户提供了更多的选择，也为互联网安全的多样化应用场景增添了新的可能。