Let’s Encrypt, vodeća svjetska organizacija za izdavanje certifikata, najavila je svoju spremnost za početak izdavanja SSL/TLS certifikata za IP adrese putem svoje produkcijske platforme, što predstavlja značajan korak naprijed u infrastrukturi internetske sigurnosti. Ovi certifikati biće dostupni isključivo u okviru profila kratkog trajanja koji ova organizacija nudi, s novim periodom važenja od samo šest dana, što označava promjenu prema ultrashort-lived certifikatima.
Ova nova funkcionalnost za certifikate IP adresa koristi Let’s Encrypt-ov sistem profila kratkog trajanja, koji omogućava automatizirano upravljanje certifikatima s drastično skraćenim periodima važenja u poređenju s tradicionalnim certifikatima od 90 dana. Takav pristup rješava nekoliko ključnih sigurnosnih problema smanjujući potencijalni period izloženosti u slučaju kompromitovanja certifikata. Sistem kratkog trajanja primjenjuje napredne kriptografske protokole i mehanizme automatskog obnavljanja kako bi se osigurala neometana rotacija certifikata bez prekida usluge. Tehničke specifikacije ukazuju na to da ovi certifikati podržavaju alternativna imena subjekata (SANs) za IP adrese, omogućavajući direktne HTTPS veze s IP adresama bez potrebe za domen-based rezolucijom. Ova mogućnost je posebno korisna za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT) gdje tradicionalni domen-based certifikati predstavljaju operativne izazove. Implementacija slijedi RFC 5280 standarde za X.509 certifikate, uz integraciju Let’s Encrypt-ovih vlasničkih protokola za automatizaciju.
Uvođenje ove funkcionalnosti ostaje u kontroliranoj fazi testiranja, s pristupom ograničenim na sistem zasnovan na bijeloj listi (allowlist-only). Osoblje Let’s Encrypt-a potvrdilo je da organizacija nije utvrdila javni rok za lansiranje i trenutno ne prihvaća zahtjeve za bijelu listu od potencijalnih korisnika. Ovakav oprezan pristup omogućava temeljito testiranje i usavršavanje infrastrukture za izdavanje certifikata prije šire implementacije. Uzorak staging certifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnom svijetu za zainteresovane strane. Staging okruženje omogućava developerima i sistemskim administratorima da procjene ponašanje certifikata i zahtjeve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti certifikata bilježit će sve izdane certifikate, održavajući Let’s Encrypt-ovu posvećenost javnom nadzoru certifikata. Početno testiranje je već identifikovalo probleme s kompatibilnošću, uključujući grešku u prikazu u Firefox-ovom rukovanju IP address SANs. Ovo otkriće naglašava važnost kontroliranog pristupa uvođenju, omogućavajući identifikaciju i rješavanje problema specifičnih za pretraživače prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja certifikatima, usklađen je s industrijskim trendovima prema kraćim životnim ciklusima certifikata i poboljšanim sigurnosnim pozicijama. Organizacije koje se pripremaju za ovu funkcionalnost trebale bi procijeniti svoje mogućnosti automatizacije upravljanja certifikatima kako bi se mogle nositi sa povećanim zahtjevima za učestalošću obnavljanja.
