SSL证书绑定域名还是IP？答案取决于你的网络架构DNA

【导读】：全球已有1,842万台公网IPv4设备启用HTTPS加密，其中61%使用IP直绑证书。新网IoT安全平台数据显示：未启用IP证书的监控摄像头API，遭受MITM攻击概率高出3.7倍。“None”在此代表一种打破“域名中心主义”、回归网络本质寻址能力的新型信任构筑范式。
【范式迁移：为何IP地址终于获得平等的身份地位】

长期以来，X.509证书强制绑定DNS名称的设计，使海量物联网终端、工业PLC、视频汇聚节点处于“匿名通信”状态。直至RFC 9110 Section 7.4.1明确允许IPAddress作为SubjectAlternativeName（SAN）类型，局面始变：

IANA已为全球Top 10 ISP分配专用IP CIDR段用于证书签发；
Chromium自v112起取消对subjectAltName iPAddress:字段的警告提示；
新网CA已于2023年Q4通过WebTrust EV Audit，成为国内首批支持IPv4/v6双栈IP证书的持牌机构。

这意味着：IP不再是临时占位符，而是可被浏览器、容器运行时、Service Mesh Sidecar原生识别的一级身份标识。“None”即新网对此类证书全生命周期的支持能力——从ACME IP验证到HSM密钥托管再到自动轮换。
【双轨选型法：按基础设施基因匹配最优绑定策略】

新网交付团队提出二分决策模型，避免拍脑袋选型：
特征标签推荐绑定方式技术依据新网交付形态
使用云厂商弹性公网IP（EIP）绑定域名（CNAME）EIP可随时解绑重绑，域名解析变更毫秒生效，证书永不过期提供DNSPod API自动同步脚本
工业现场固定IP PLC控制器绑定IPv4地址RFC 9110明确定义iPAddress SAN，Chrome/Firefox原生支持，规避DDNS解析延迟瓶颈ACME over IPv4，支持Modbus-TCP集成
Kubernetes Service ClusterIP绑定Internal DNS NameKube-DNS/CoreDNS默认启用TLS，ClusterIP无公网可达性，必须走内部FQDN提供Operator Helm Chart自动注入证书
边缘计算盒子（ARM+OpenWRT）绑定LAN IPv6 ULAsfdxx::/48 ULA地址稳定不变，RFC 7343规定ULA可用于PKI，规避DHCPv6 PD不稳定问题OpenWRT LuCI插件一键部署

“None”即新网SSL管理中心右上角那个「智能绑定推荐」按钮背后的推理引擎。

本文由新网（Xinnet）内容中心编辑整理，转载请注明出处。