Let’s Encrypt, najveći svjetski izdavač certifikata, objavio je spremnost za izdavanje SSL/TLS certifikata za IP adrese putem svog produkcijskog okruženja, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti. Ovi certifikati će biti dostupni isključivo pod profilom kratkog životnog vijeka organizacije, s do sada neviđenim periodom važenja od šest dana, što označava pomak prema izuzetno kratkim životnim ciklusima certifikata.
Nova funkcionalnost izdavanja certifikata za IP adrese koristi sistem profila kratkog životnog vijeka kompanije Let’s Encrypt, koji implementira automatizirano upravljanje certifikatima sa drastično skraćenim periodima važenja u poređenju sa tradicionalnim 90-dnevnim certifikatima. Ovaj pristup rješava nekoliko ključnih sigurnosnih problema minimizirajući period izloženosti u slučaju kompromitacije certifikata. Kratkoročni profil koristi napredne kriptografske protokole i mehanizme automatskog obnavljanja kako bi se osigurala nesmetana rotacija certifikata bez prekida usluge. Tehničke specifikacije ukazuju da ovi certifikati podržavaju alternativna imena subjekata (SAN) za IP adrese, omogućavajući direktne HTTPS veze sa IP adresama bez potrebe za rješavanjem naziva domena. Ova funkcionalnost pokazuje se posebno vrijednom za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT) gdje tradicionalni certifikati bazirani na domenima predstavljaju operativne izazove. Implementacija je u skladu sa RFC 5280 standardima za X.509 certifikate, uz integraciju vlasničkih protokola za automatizaciju kompanije Let’s Encrypt.
Izdanje je još uvijek u kontrolisanoj fazi testiranja, s pristupom ograničenim na sistem koji funkcionira isključivo na osnovu bijele liste (allowlist-only). Osoblje Let’s Encrypt potvrdilo je da organizacija još nije uspostavila javni vremenski okvir za lansiranje i trenutno ne prihvaća zahtjeve za dodavanje na bijelu listu od potencijalnih korisnika. Ovaj oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje certifikata prije šireg uvođenja. Uzorak probnog certifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnim uslovima za zainteresovane strane. Probno okruženje omogućava programerima i sistemskim administratorima da procijene ponašanje certifikata i zahtjeve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti certifikata (certificate transparency logs) bilježit će sve izdane certifikate, održavajući posvećenost kompanije Let’s Encrypt javnom nadzoru certifikata.
Početna testiranja su već otkrila probleme kompatibilnosti, uključujući grešku u prikazu u načinu na koji Firefox obrađuje SAN-ove IP adresa. Ovo otkriće naglašava važnost kontrolisanog pristupa uvođenju, omogućavajući identifikaciju i rješavanje problema specifičnih za pregledače prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja certifikatima, u skladu je s industrijskim trendovima ka kraćim životnim ciklusima certifikata i poboljšanim sigurnosnim pozicijama. Organizacije koje se pripremaju za ovu funkcionalnost trebale bi procijeniti svoje mogućnosti automatizacije upravljanja certifikatima kako bi mogle podnijeti povećane zahtjeve za učestalošću obnavljanja.
