Let’s Encrypt je počeo izdavati SSL/TLS sertifikate za IP adrese
Let’s Encrypt, vodeća svjetska institucija za sertifikaciju, ostvarila je značajan napredak izdavanjem prvog SSL/TLS sertifikata za IP adresu 1. jula 2025. godine. Ovaj potez predstavlja važnu promjenu u ekosistemu sertifikata, budući da su sertifikati za IP adrese ranije bili dostupni samo malom broju institucija za sertifikaciju i to u ograničenom obimu.
Ovaj razvoj odgovara na dugogodišnji zahtjev korisnika koji su od početka poslovanja Let’s Encrypt-a 2015. godine kontinuirano tražili ovu mogućnost. Uvođenje sertifikata za IP adrese predstavlja strateško proširenje ponude Let’s Encrypt-a, nadopunjujući postojeće sertifikate bazirane na domenima. Za razliku od tradicionalnih domenskih sertifikata koji se oslanjaju na DNS validaciju, sertifikati za IP adrese donose jedinstvene tehničke izazove vezane za provjeru vlasništva i dinamičku alokaciju adresa. Većina korisnika interneta pristupa servisima putem domenskih imena poput letsencrypt.org, a ne putem brojčanih adresa kao što su 54.215.62.21 (IPv4) ili 2600:1f1c:446:4900::65 (IPv6). Stoga su IP sertifikati specifična, ali ključna komponenta infrastrukture.
Novi tip sertifikata rješava nekoliko kritičnih slučajeva upotrebe u savremenoj internetskoj infrastrukturi. Pružaoci hosting usluga sada mogu nuditi sigurne podrazumijevane stranice kada korisnici slučajno pristupe serverima putem IP adresa, čime se eliminiraju upozorenja o sigurnosti pregledača. Pored toga, ovi sertifikati omogućavaju sigurnu implementaciju DNS-a preko HTTPS-a (DoH), dozvoljavajući DoH serverima da efikasnije potvrde svoj identitet klijentima. Analitičari Let’s Encrypt-a prepoznali su ove scenarije kao posebno vrijedne za pružaoce cloud infrastrukture koji upravljaju prolaznim vezama između backend servera, kao i za proizvođače Internet of Things uređaja kojima je potreban siguran daljinski pristup.
Tehnička implementacija i sigurnosni okvir
Tehnička implementacija IP sertifikata nameće stroge sigurnosne zahtjeve koji se značajno razlikuju od standardnih domenskih sertifikata. Let’s Encrypt nalaže da svi IP sertifikati moraju imati kratak rok trajanja, s periodom važenja ograničenim na otprilike šest dana. Ova politika ublažava inherentne sigurnosne rizike povezane s vlasništvom IP adresa, posebno dinamičku prirodu alokacije IP adresa od strane provajdera internet usluga. Proces izdavanja sertifikata zahtijeva da ACME klijenti podržavaju nacrt specifikacije ACME profila i eksplicitno zatraže “shortlived” profil. Proces validacije isključuje metode izazova putem DNS-a, ograničavajući autentifikaciju na tipove izazova http-01 i tls-alpn-01. Ovo ograničenje osigurava da podnosioci zahtjeva za sertifikat demonstriraju stvarnu kontrolu nad IP adresom putem HTTP ili TLS protokola, umjesto manipulacije DNS-om. Trenutno dostupna u staging okruženjima, usluga će preći u produkcionu fazu kasnije tokom 2025. godine, uporedo s opštim izdavanjem funkcionalnosti privremenih sertifikata.
