Let’s Encrypt, najveći izdavač certifikata u svijetu, najavio je svoju spremnost za početak izdavanja SSL/TLS certifikata za IP adrese putem svog produkcijskog okruženja, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti. Ovi certifikati biće dostupni isključivo u okviru profila kratkog trajanja organizacije, s periodom važenja od samo šest dana, što predstavlja pomak ka ultra-kratkim životnim ciklusima certifikata.
Funkcionalnost izdavanja certifikata za IP adrese koristi Let’s Encrypt-ov sistem profila kratkog trajanja, koji implementira automatizirano upravljanje certifikatima s drastično smanjenim periodima važenja u poređenju s tradicionalnim 90-dnevnim certifikatima. Ovaj pristup rješava nekoliko ključnih sigurnosnih problema minimiziranjem prozora izloženosti u slučaju kompromitovanja certifikata. Profil kratkog trajanja koristi napredne kriptografske protokole i mehanizme automatske obnove kako bi osigurao besprekornu rotaciju certifikata bez prekida usluge. Tehničke specifikacije ukazuju na to da ovi certifikati podržavaju alternativna imena subjekta (SAN) IP adresa, omogućavajući direktne HTTPS veze prema IP adresama, umjesto zahtijevanja rezolucije imena domena. Ova funkcionalnost pokazuje se naročito vrijednom za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT), gdje tradicionalni certifikati zasnovani na domenima predstavljaju operativne izazove. Implementacija slijedi standarde RFC 5280 za X.509 certifikate, uz integraciju Let’s Encrypt-ovih vlasničkih protokola za automatizaciju.
Uvođenje je i dalje u kontrolisanoj fazi testiranja, s pristupom ograničenim na sistem samo za odobrenu listu (allowlist-only). Osoblje Let’s Encrypt-a potvrdilo je da organizacija nije uspostavila javni vremenski okvir za lansiranje i da trenutno ne prihvata zahtjeve za dodavanje na listu odobrenih korisnika. Ovakav oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje certifikata prije šire implementacije. Uzorak staging certifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnim uslovima za zainteresovane strane. Staging okruženje omogućava programerima i administratorima sistema da procijene ponašanje certifikata i zahtjeve za integraciju bez utjecaja na produkcijske sisteme. Dnevnici transparentnosti certifikata (Certificate transparency logs) bilježit će sve izdane certifikate, održavajući Let’s Encrypt-ovu posvećenost javnom nadzoru certifikata. Početna testiranja su već identificirala probleme kompatibilnosti, uključujući grešku u prikazu u Firefoxovom načinu rukovanja IP adresama u SAN-ovima. Ovo otkriće naglašava važnost kontrolisanog pristupa, omogućavajući identifikaciju i rješavanje problema specifičnih za pregledače prije javnog dostupnosti. Period važenja od šest dana, iako predstavlja izazov tradicionalnim praksama upravljanja certifikatima, usklađuje se s industrijskim trendovima ka kraćim životnim ciklusima certifikata i poboljšanim sigurnosnim stanjima. Organizacije koje se pripremaju za ovu funkcionalnost trebale bi procijeniti svoje mogućnosti automatizacije upravljanja certifikatima kako bi se nosile s povećanim zahtjevima za učestalošću obnavljanja.