Let’s Encrypt, najveći svjetski autoritet za izdavanje certifikata, objavio je svoju spremnost za početak izdavanja SSL/TLS certifikata za IP adrese putem svoje produkcijske okoline, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti.
Ovi certifikati biće dostupni isključivo u okviru profila kratkog trajanja organizacije, sa neviđenim periodom važenja od šest dana, što označava pomak ka ultralekim životnim ciklusima certifikata.
Let’s Encrypt će direktno izdavati SSL certifikate za IP adrese sa periodom važenja od 6 dana. Ova funkcionalnost je ograničena na bijelu listu, bez javnog vremenskog okvira ili prihvaćanja zahtjeva za sada. Omogućava HTTPS konekcije ka IP adresama bez domena, što je korisno za interne mreže i IoT uređaje. Tokom testiranja uočeni su problemi s prikazom u Firefoxu, koji zahtijevaju ispravke prije javnog lansiranja.
Nova funkcionalnost certifikata za IP adrese koristi Let’s Encrypt-ov sistem profila kratkog trajanja, koji implementira automatizovano upravljanje certifikatima sa drastično smanjenim periodima važenja u poređenju s tradicionalnim 90-dnevnim certifikatima. Ovakav pristup rješava nekoliko kritičnih sigurnosnih problema minimizirajući period izloženosti u slučaju kompromitovanja certifikata. Profil kratkog trajanja koristi napredne kriptografske protokole i mehanizme automatske obnove kako bi se osigurala besprekorna rotacija certifikata bez prekida usluge. Tehničke specifikacije ukazuju na to da ovi certifikati podržavaju imena alternativnih subjekata (SANs) za IP adrese, omogućavajući direktne HTTPS konekcije ka IP adresama umjesto zahtijevanja rezolucije imena domena. Ova funkcionalnost pokazuje se posebno vrijednom za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT) gdje tradicionalni certifikati zasnovani na domenima predstavljaju operativne izazove. Implementacija slijedi RFC 5280 standarde za X.509 certifikate, istovremeno integrirajući Let’s Encrypt-ove vlasničke protokole za automatizaciju.
Uvođenje je i dalje u kontrolisanoj fazi testiranja, sa pristupom ograničenim na sistem isključivo bijele liste. Osoblje Let’s Encrypt-a je potvrdilo da organizacija još nije uspostavila javni vremenski okvir za lansiranje i trenutno ne prihvata zahtjeve za bijelu listu od potencijalnih korisnika. Ovakav oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje certifikata prije šireg uvođenja. Uzorak certifikata za fazu testiranja demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnom svijetu za zainteresirane strane. Okruženje za testiranje omogućava programerima i administratorima sistema da procijene ponašanje certifikata i zahtjeve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti certifikata će bilježiti sve izdane certifikate, održavajući Let’s Encrypt-ovu posvećenost javnom nadzoru certifikata. Početna testiranja su već otkrila probleme kompatibilnosti, uključujući grešku u prikazu u načinu na koji Firefox obrađuje SAN-ove IP adresa. Ovo otkriće naglašava važnost kontrolisanog pristupa uvođenju, omogućavajući identifikaciju i rješavanje problema specifičnih za pregledače prije javnog dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja certifikatima, u skladu je sa industrijskim trendovima ka kraćim životnim ciklusima certifikata i poboljšanim sigurnosnim stanjima. Organizacije koje se pripremaju za ovu funkcionalnost trebale bi procijeniti svoje mogućnosti automatizacije upravljanja certifikatima kako bi se nosile sa povećanim zahtjevima za učestalošću obnove.
