Wenn ein Zertifikat für einen internen Hostname beauftragt wird, der Bestandteil eines FQDN ist (CN=test.example.com), dann ändert sich nichts. Die Toplevel- und Secondleveldomain ist anhand öffentlicher Verzeichnisse nachprüfbar. Das Zertifikat wird nach erfolgreicher Prüfung ausgestellt.

Wird ein Zertifikat jedoch nur für einen internen Hostname (CN=test) beauftragt, dann handelt es sich nicht um einen vollständigen Domainnamen (FQDN) und die erforderlichen Prüfungen gegenüber öffentlichen Verzeichnisse sind nicht möglich. Ein solches Zertifikat wäre somit nicht eindeutig oder einzigartig. Das Zertifikat wird nicht ausgestellt.

Mit einem Zertifikat, das für eine IP-Adresse aus einem reservierten Adressbereich beauftragt wird, verhält es sich ähnlich. Diese Adressbereiche sind für bestimmte Zwecke reserviert worden und können entsprechend größtenteils beliebig verwendet werden. Die Zertifikate sind keinesfalls einzigartig, da sie gleichermaßen in vielen privaten Netzwerken eingesetzt werden können (z.B.192.168.*.*).
Auch kann keine Eindeutigkeit bescheinigt werden, da die Nutzung keinerlei Registrierung voraus setzt. Aus den genannten Gründen wird ein solcher Zertifikatsauftrag ebenfalls abgelehnt.

Beispiele für reservierte Adressbereiche sind:

240.0.0.0, 1.1.1.1, 10.*.*.*, 192.168.*.*, 127.0.0.1, 172.16.*.*, 172.17.*.*, 172.18.*.*, 172.19.*.*, 172.20.*.*, 172.21.*.*, 172.22.*.*, 172.23.*.*, 172.24.*.*, 172.25.*.*, 172.26.*.*, 172.27.*.*, 172.28.*.*, 172.29.*.*, 172.30.*.*, 172.31.*.*.