Let’s Encrypt, najveći svjetski izdavač sertifikata, objavio je spremnost za izdavanje SSL/TLS sertifikata za IP adrese putem svog produkcijskog okruženja, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti. Ovi sertifikati će biti dostupni isključivo pod profilom kratkog životnog vijeka organizacije, s do sada neviđenim periodom važenja od šest dana, što označava pomak prema izuzetno kratkim životnim ciklusima sertifikata.
Nova funkcionalnost izdavanja sertifikata za IP adrese koristi sistem profila kratkog životnog vijeka kompanije Let’s Encrypt, koji implementira automatizovano upravljanje sertifikatima sa drastično skraćenim periodima važenja u poređenju sa tradicionalnim 90-dnevnim sertifikatima. Ovaj pristup rješava nekoliko ključnih sigurnosnih problema minimizirajući period izloženosti u slučaju kompromitacije sertifikata. Kratkoročni profil koristi napredne kriptografske protokole i mehanizme automatskog obnavljanja kako bi se osigurala nesmetana rotacija sertifikata bez prekida usluge. Tehničke specifikacije ukazuju da ovi sertifikati podržavaju alternativna imena subjekata (SAN) za IP adrese, omogućavajući direktne HTTPS veze sa IP adresama bez potrebe za rješavanjem naziva domena. Ova funkcionalnost pokazuje se posebno vrijednom za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT) gdje tradicionalni sertifikati bazirani na domenima predstavljaju operativne izazove. Implementacija je u skladu sa RFC 5280 standardima za X.509 sertifikate, uz integraciju vlasničkih protokola za automatizaciju kompanije Let’s Encrypt.
Izdanje je još uvijek u kontrolisanoj fazi testiranja, s pristupom ograničenim na sistem koji funkcioniše isključivo na osnovu bijele liste (allowlist-only). Osoblje Let’s Encrypt potvrdilo je da organizacija još nije uspostavila javni vremenski okvir za lansiranje i trenutno ne prihvata zahtjeve za dodavanje na bijelu listu od potencijalnih korisnika. Ovaj oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje sertifikata prije šireg uvođenja. Uzorak probnog sertifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnim uslovima za zainteresovane strane. Probno okruženje omogućava programerima i sistemskim administratorima da procijene ponašanje sertifikata i zahtjeve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti sertifikata (certificate transparency logs) bilježit će sve izdane sertifikate, održavajući posvećenost kompanije Let’s Encrypt javnom nadzoru sertifikata.
Početna testiranja su već otkrila probleme kompatibilnosti, uključujući grešku u prikazu u načinu na koji Firefox obrađuje SAN-ove IP adresa. Ovo otkriće naglašava važnost kontrolisanog pristupa uvođenju, omogućavajući identifikaciju i rješavanje problema specifičnih za pregledače prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja sertifikatima, u skladu je s industrijskim trendovima ka kraćim životnim ciklusima sertifikata i poboljšanim sigurnosnim pozicijama. Organizacije koje se pripremaju za ovu funkcionalnost trebale bi procijeniti svoje mogućnosti automatizacije upravljanja sertifikatima kako bi mogle podnijeti povećane zahtjeve za učestalošću obnavljanja.
