Let’s Encrypt, najveći svjetski izdavač certifikata, objavio je svoju spremnost za izdavanje SSL/TLS certifikata za IP adrese putem svoje produkcijske okoline, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti. Ovi certifikati će biti dostupni isključivo u okviru profila kratkog trajanja organizacije, s periodom važenja od šest dana, što signalizira radikalni zaokret ka ultra-kratkim životnim ciklusima certifikata.
Nova funkcionalnost certifikata za IP adrese koristi sistem profila kratkog trajanja kompanije Let’s Encrypt, koji omogućava automatizirano upravljanje certifikatima sa znatno skraćenim periodom važenja u poređenju s tradicionalnim certifikatima od 90 dana. Ovakav pristup rješava nekoliko ključnih sigurnosnih problema minimiziranjem perioda izloženosti u slučaju kompromitacije certifikata. Profil kratkog trajanja primjenjuje napredne kriptografske protokole i mehanizme automatske obnove radi osiguravanja besprekorne rotacije certifikata bez prekida usluge. Tehničke specifikacije ukazuju da ovi certifikati podržavaju nazive alternativnih subjekata (SAN) za IP adrese, omogućavajući direktne HTTPS veze s IP adresama bez potrebe za prevođenjem domenskih imena. Ova funkcionalnost pokazala se izuzetno korisnom za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT), gdje tradicionalni certifikati zasnovani na domenama predstavljaju operativne izazove. Implementacija je u skladu sa RFC 5280 standardima za X.509 certifikate, uz integraciju vlasničkih protokola za automatizaciju kompanije Let’s Encrypt.
Uvođenje ove funkcionalnosti i dalje je u fazi kontroliranog testiranja, s pristupom ograničenim na sistem zasnovan isključivo na bijeloj listi. Osoblje kompanije Let’s Encrypt potvrdilo je da organizacija još nije uspostavila javni vremenski okvir za pokretanje i trenutno ne prihvaća zahtjeve za uvrštavanje na bijelu listu od potencijalnih korisnika. Ovakav oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje certifikata prije šire implementacije. Uzorak testnog certifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnom svijetu za zainteresovane strane. Testno okruženje omogućava developerima i administratorima sistema da procijene ponašanje certifikata i zahtjeve za integraciju bez uticaja na produkcijske sisteme. Zapisi o transparentnosti certifikata bilježit će sve izdane certifikate, održavajući posvećenost kompanije Let’s Encrypt javnom nadzoru certifikata. Početno testiranje već je identifikovalo probleme kompatibilnosti, uključujući grešku u prikazu u načinu na koji Firefox obrađuje SAN-ove za IP adrese. Ovo otkriće naglašava važnost kontrolisanog pristupa uvođenju, omogućavajući identifikaciju i rješavanje problema specifičnih za pretraživače prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja certifikatima, u skladu je s trendovima u industriji ka kraćim životnim ciklusima certifikata i poboljšanim sigurnosnim pozicijama. Organizacije koje se pripremaju za ovu funkcionalnost trebale bi procijeniti svoje mogućnosti automatizacije upravljanja certifikatima kako bi se nosile sa povećanim zahtjevima za učestalošću obnove.
