Сертифікат IP-адреси: нововведення від Let’s Encrypt
Let’s Encrypt випустив перший сертифікат для IP-адреси
Протягом майже десятиліття Let’s Encrypt зосереджувався на сертифікатах, що перевіряються доменом, оскільки саме так люди знаходять веб-сайти. Переклад читабельних імен у числові адреси через DNS надає операторам сайтів гнучкість для переміщення інфраструктури без необхідності оновлювати сертифікати щоразу, коли змінюється IP-адреса.
Натомість IP-адреси, особливо динамічні, які надаються багатьом житловим або малим бізнес-клієнтам, зазвичай є тимчасовими, що робить їх ненадійною основою для довгострокових облікових даних.
Але це незабаром зміниться. З 1 липня 2025 року Let’s Encrypt, некомерційний центр сертифікації, випустив свій перший сертифікат для IP-адреси. Як і очікувалося, існують певні умови для видачі цього типу сертифіката.
Умови для отримання IP-сертифікатів
- Клієнти повинні підтримувати специфікацію ACME Profiles для їх запиту.
- Вони видаватимуться лише як короткострокові сертифікати (дійсні близько 6 днів), таким чином зменшуючи ризики, пов’язані з перепризначенням IP.
- Підтримуються лише методи перевірки HTTP-01 та TLS-ALPN-01 (без DNS-викликів).
Ця функція наразі доступна в тестовому середовищі Let’s Encrypt, а повноцінний запуск у виробництво очікується пізніше у 2025 році разом із ширшою доступністю короткострокових сертифікатів.
Хто виграє від IP-сертифікатів?
Хоча Let’s Encrypt наголошує, що більшості операторів сайтів буде цілком достатньо звичайних доменних сертифікатів, існують сценарії, де числовий ідентифікатор є єдиним практичним вибором:
- Інфраструктурні сервіси, такі як DNS-over-HTTPS (DoH) – де клієнти можуть прив’язуватися до конкретної IP-адреси для підвищення продуктивності або обходу цензури.
- IoT та домашні лабораторні пристрої – наприклад, мережеві сховища даних зі статичними WAN-адресами.
- Ефемерні хмарні робочі навантаження – короткострокові внутрішні сервери, які запускаються з публічними IP швидше, ніж можуть поширюватися DNS-записи.
Впровадження сертифікатів для IP-адрес – це важливий крок для Let’s Encrypt, який розширює можливості шифрування та безпеки для різноманітних сценаріїв використання. Незважаючи на те, що більшості користувачів все ще рекомендується використовувати традиційні доменні сертифікати, нова опція відкриває додаткові шляхи для забезпечення конфіденційності та безпеки в інтернеті.
Для отримання додаткової інформації відвідайте офіційний сайт Let’s Encrypt або ознайомтеся з офіційним оголошенням.