Let’s Encrypt починає підтримку сертифікатів для IP-адрес
Let’s Encrypt починає підтримку сертифікатів для IP-адрес
Важлива новина для всіх ентузіастів самостійного хостингу. У середині минулого літа ми повідомляли, що Let’s Encrypt, безкоштовний і автоматизований сертифікаційний центр, планував видавати сертифікати не лише для доменних імен, але й для IP-адрес. Тепер це стало реальністю.
Тепер доступні сертифікати для IP-адрес від Let’s Encrypt
До цього часу публічно довірені TLS сертифікати були майже виключно пов’язані з DNS-іменами. Це обмежувало безпечне розгортання для інфраструктури, яка працює переважно на базі сирих IP-адрес.
З 15 січня Let’s Encrypt зробив сертифікати TLS для IP-адрес (як IPv4, так і IPv6) та короткострокові сертифікати загально доступними. Це важливе розширення послуг їхнього сертифікаційного центру, яке дозволяє забезпечувати HTTPS-з’єднання без прив’язки до доменних імен.
Особливості сертифікатів для IP-адрес
Сертифікати для IP-адрес, що видаються Let’s Encrypt, є обов’язковими короткостроковими сертифікатами, термін дії яких становить 160 годин, або трохи більше шести днів. Організація зазначає, що такий вибір дизайну відображає транзитивний характер IP-адрес, які можуть змінювати власника або призначення частіше, ніж доменні імена. Частіша валідація зменшує ризик помилково виданих чи застарілих сертифікатів, які залишаються довіреними.
Поряд із сертифікатами для IP-адрес, Let’s Encrypt також зробив короткострокові сертифікати для доменних імен загально доступними. Ці сертифікати є опціональними і можуть бути запитані шляхом вибору короткострокового профілю в клієнті ACME. Зменшивши термін дії сертифікатів з 90 днів до 6 днів, вплив зламаного ключа обмежений за замовчуванням, а не через відкликання.
Отримання сертифікату для IP-адреси
Щоб отримати короткостроковий сертифікат для IP-адреси, скористайтеся клієнтом ACME (наприклад, Certbot), який підтримує профіль короткострокового сертифікату. Укажіть свою публічну IP-адресу як ідентифікатор (переконайтеся, що ваш клієнт оновлений для використання цієї нової функції) та використовуйте HTTP-01 або TLS-ALPN-01 для валідації.
Окремо Let’s Encrypt підтвердив свої раніше оголошені плани зменшити стандартний термін дії сертифікатів з 90 днів до 45 днів у найближчі роки. Це продовження їхнього довгострокового переходу до короткострокових моделей довіри.
Переваги для самостійних хостерів
На завершення, хотілося б зазначити, що для самостійних хостерів сертифікати IP-адрес – це велика перемога. Вони усувають необхідність реєстрації, управління та підтримки доменних імен просто для активації HTTPS. Послуги можуть бути безпечними безпосередньо за IP-адресою (IPv4 або IPv6), що особливо корисно для домашніх лабораторій, тимчасових тестових систем та пристроїв, які короткочасно підключаються до Інтернету.
Для отримання додаткової інформації зверніться до оголошення Let’s Encrypt.
