<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 25, 2016 at 8:07 AM, Peter Bowen <span dir="ltr"><<a href="mailto:pzb@amzn.com" target="_blank">pzb@amzn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><span style="color:rgb(34,34,34)">Looking at the combination of the known CT logs, there are about 2216 unexpired certificates with IP addresses in the SAN extension (either as an iPAddress or as an IPv4 address-as-text as a dNSName).  Of these 2216, 930 have IPv4 in a dNSName. Of these, 435 have multiple distinct alternative names.</span><br></div></div>
<br>
<a href="https://gist.github.com/pzb/ecaf3701bc631a8f0589e8eff277e694" rel="noreferrer" target="_blank">https://gist.github.com/pzb/ecaf3701bc631a8f0589e8eff277e694</a> is the list of these 435 certificates.  A few dozen are certificates that cannot be renewed (as they have RFC1918/3330 addresses included) but the rest are examples of certificates where the proposed solution of one IP/name per cert might not be viable.<br></blockquote><div><br></div><div>Alternatively, we can see it as a problem of 435 customers (which is admittedly an underestimate, but likely within a power of 10, probably well below) who, in order to avoid configuration, are asking that Internet standards be set aside to accommodate their needs - standards that affect billions of users and introduce known risks.</div></div></div></div>