Let’s Encrypt, najveći svjetski izdavač certifikata, najavio je svoju spremnost za početak izdavanja SSL/TLS certifikata za IP adrese putem svog produkcijskog okruženja, označavajući značajan napredak u infrastrukturi internetske sigurnosti. Ovi certifikati bit će dostupni isključivo pod postojećim profilom kratkog trajanja organizacije, s periodom važenja od samo šest dana, što predstavlja značajnu promjenu prema ultra-kratkim životnim ciklusima certifikata.
Nova funkcionalnost certifikata za IP adrese koristi postojeći sistem kratkog životnog vijeka Let’s Encrypta, koji implementira automatizirano upravljanje certifikatima s drastično skraćenim periodima važenja u poređenju s tradicionalnim certifikatima od 90 dana. Ovaj pristup rješava nekoliko kritičnih sigurnosnih problema minimizirajući period izloženosti u slučaju kompromitovanja certifikata. Profil kratkog trajanja koristi napredne kriptografske protokole i mehanizme automatske obnove kako bi osigurao nesmetanu rotaciju certifikata bez prekida usluge. Tehničke specifikacije ukazuju na to da ovi certifikati podržavaju alternativna imena subjekata (SANs) za IP adrese, omogućavajući direktne HTTPS veze na IP adrese bez potrebe za prepoznavanjem domena. Ova funkcionalnost pokazala se izuzetno vrijednom za interne mreže, razvojna okruženja i implementacije Interneta stvari (IoT) gdje tradicionalni certifikati bazirani na domenima predstavljaju operativne izazove. Implementacija slijedi standarde RFC 5280 za X.509 certifikate, integrirajući pritom vlasničke protokole automatizacije Let’s Encrypta.
Uvođenje funkcionalnosti je i dalje u fazi kontrolisanog testiranja, s pristupom ograničenim na sistem samo za bijelu listu. Osoblje Let’s Encrypta potvrdilo je da organizacija nije uspostavila javni vremenski okvir za lansiranje i trenutno ne prihvaća zahtjeve za bijelu listu od potencijalnih korisnika. Ovakav oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje certifikata prije šireg uvođenja. Uzorak probnog certifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnom svijetu za zainteresovane strane. Probno okruženje omogućava programerima i administratorima sistema da procijene ponašanje certifikata i zahtjeve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti certifikata bilježit će sve izdane certifikate, održavajući posvećenost Let’s Encrypta javnom nadzoru certifikata. Početna testiranja su već identifikovala probleme kompatibilnosti, uključujući grešku u prikazu u Firefoxovom rukovanju SANs-ovima za IP adrese. Ovo otkriće naglašava važnost kontrolisanog uvođenja, omogućavajući identifikaciju i rješavanje problema specifičnih za pretraživače prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov tradicionalnim praksama upravljanja certifikatima, usklađuje se s industrijskim trendovima ka kraćim životnim ciklusima certifikata i poboljšanim sigurnosnim pozicijama. Organizacije koje se pripremaju za ovu funkcionalnost trebaju procijeniti svoje mogućnosti automatizacije upravljanja certifikatima kako bi se nosile s povećanim zahtjevima za učestalošću obnove.
