Let’s Encrypt, najveći svjetski izdavač sertifikata, najavio je svoju spremnost da počne izdavati SSL/TLS sertifikate za IP adrese putem svog produkcijskog okruženja, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti. Ovi sertifikati će biti dostupni isključivo u okviru profila sa kratkim životnim vijekom organizacije, s nikad prije viđenim periodom važenja od šest dana, što predstavlja promjenu paradigme prema izrazito kratkim životnim ciklusima sertifikata.
Nova funkcionalnost izdavanja sertifikata za IP adrese koristi Let’s Encrypt-ov sistem profila sa kratkim životnim vijekom, koji implementira automatizovano upravljanje sertifikatima sa drastično smanjenim periodima važenja u poređenju s tradicionalnim 90-dnevnim sertifikatima. Ovaj pristup rješava nekoliko ključnih sigurnosnih problema minimiziranjem prozora izloženosti u slučaju kompromitovanja sertifikata. Kratkoživi profil koristi napredne kriptografske protokole i mehanizme automatske obnove kako bi osigurao besprekornu rotaciju sertifikata bez prekida usluge. Tehničke specifikacije ukazuju da ovi sertifikati podržavaju imena alternativnih subjekata (SANs) IP adresa, omogućavajući direktne HTTPS veze na IP adrese umjesto potrebe za rješavanjem imena domena. Ova funkcionalnost se pokazuje posebno vrijednom za interne mreže, razvojna okruženja i implementacije Interneta stvari (IoT) gdje tradicionalni sertifikati zasnovani na domenima predstavljaju operativne izazove. Implementacija slijedi RFC 5280 standarde za X.509 sertifikate, istovremeno integrirajući Let’s Encrypt-ove vlasničke protokole za automatizaciju.
Uvođenje ostaje u kontrolisanoj fazi testiranja, s pristupom ograničenim na sistem zasnovan isključivo na listi odobrenih korisnika. Osoblje Let’s Encrypt-a je potvrdilo da organizacija nije uspostavila javni vremenski okvir za lansiranje i trenutno ne prihvaća zahtjeve za dodavanje na listu odobrenih korisnika od potencijalnih korisnika. Ovaj oprezni pristup omogućava sveobuhvatno testiranje i poboljšanje infrastrukture za izdavanje sertifikata prije šireg uvođenja. Uzorak privremenog sertifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnom svijetu za zainteresovane strane. Privremeno okruženje omogućava programerima i sistemskim administratorima da procjene ponašanje sertifikata i zahteve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti sertifikata će evidentirati sve izdane sertifikate, održavajući Let’s Encrypt-ovu posvećenost javnom nadzoru sertifikata. Početna testiranja su već identifikovala probleme kompatibilnosti, uključujući grešku u prikazu u Firefoxovom načinu rukovanja IP adresama SANs. Ovo otkriće naglašava važnost kontrolisanog pristupa uvođenju, omogućavajući identifikaciju i rješavanje problema specifičnih za preglednike prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja sertifikatima, usklađuje se s trendovima u industriji prema kraćim životnim ciklusima sertifikata i poboljšanim sigurnosnim pozicijama. Organizacije koje se pripremaju za ovu funkcionalnost trebaju procijeniti svoje mogućnosti automatizacije upravljanja sertifikatima kako bi se nosile sa povećanim zahtjevima za frekvenciju obnove.