Vlákno názorů k článku
Let's Encrypt nasadí trvalé validační DNS záznamy do poloviny letošního roku od BobTheBuilder - Tak uvidíme. Kdysi šlo mít certifikát vystavený na hostname,...

Tak uvidíme.
Kdysi šlo mít certifikát vystavený na hostname, který měl v DNS veřejnou i veřejnou adresu, ale to pak přestalo fungovat. Pokud mi tohle umožní vrátit tento stav, trochu se mi to zjednoduší.

IP adresa uz davno neni povazovana jako bezpecny identifikator.

Napsal jsem to blbě, mělo být "veřejnou i neveřejnou adresu" (automatické opravy?).
Chci certifikát na host.domena.cz který má v DNS 2001:2345:678­9:1234::200 a zároveň 192.168.0.200.
To druhé tam (teď) mít nemůžu, takže i interní komunikace nutně musí jít přes IPv6. No, ona většinou jde, takže to zase takový problém není.

21. 2. 2026, 16:10 editováno autorem komentáře

A proc v danem use-case vubec pristupovat na IP adresu, kdyz muzu mit v DNS hostname? :-) A vlastne mi je pak i fuk, pres jakou address-family ten provoz realne jde. U privatni IP beztak neni jak overit, ze jste "verohodnym" uzivatelem - a kdyby si takovy mohl vystavit kdokoliv, pak by to beztak z pohledu bezpecnosti nemelo prece zadny smysl...

Tu IP adresu máte v DNS nebo v certifikátu? Pokud v DNS, nic vám nebrání vystavit si na ten DNS název certifikát už teď – s validací přes DNS. Pokud tu IP adresu chcete mít v certifikátu, nijak to nesouvisí s DNS a žádná normální autorita vám takový certifikát nevydá ani dříve ani v budoucnu. Protože neprokážete, že IP adresa 192.168.0.200 je výhradně vaše (protože není).

No protože mám třeba NAS (Synology ku příkladu). Ten má veřejnou IPv6 a IPv4 ne, protože DSLite u exUPC.
Ano, přes DNS můžu ten certifikát získat, i když tam kromě veřejné IPv6 je i neveřejná IPv4 - ale každé 2 měsíce to musím ručně řešit. Tak proto.
Další use-case může být třeba DC v Active Directory nebo Windows server s IPP(S) tiskem - win-acme funguje pěkně, ale zase, musíte to mít na veřejných adresách a to možná nechcete. A bez certifikátu komunikujete s LDAP nebo print serverem otevřeně, to nechcete, nebo si zřídíte vlastní CA, kterou ale zase musíte nacpat jako důvěryhodnou do všech klientů, včetně mobilních.
A další: máte síť za NATem a chcete certifikát pro více než jeden server - to ale přes NAT neprocedíte, protože s ACME musíte použít port 80 a ten máte jen jeden.
ACME přes DNS vyžaduje změnit challenge, ale dělat to programově, když máte zónu podepsanou DNSSEC není úplně snadné, pokud váš poskytovatel DNS vůbec API poskytuje (pro SOHO segment většinou primární DNS nemáte vlastní už kvůli glue záznamu, který by přestal platit při změně IP adresy od ISP).