Let’s Encrypt, najveći svjetski izdavač certifikata, postigao je značajan uspjeh izdavanjem svog prvog SSL/TLS certifikata za IP adresu 1. jula 2025. godine. Ovaj potez predstavlja značajnu promjenu u ekosistemu certifikata, s obzirom da su certifikati za IP adrese historijski bili dostupni samo kod malog broja izdavača i to u ograničenom obimu.
Ova inicijativa odgovara na potražnju korisnika koja traje deceniju, a koja je izražavana od kada je Let’s Encrypt započeo sa radom 2015. godine. Uvođenje certifikata za IP adrese predstavlja strateško proširenje portfolija usluga Let’s Encrypta, nadopunjujući njihovu postojeću ponudu certifikata zasnovanih na domenima.
Za razliku od tradicionalnih certifikata za domene koji se oslanjaju na validaciju putem DNS-a, certifikati za IP adrese nose jedinstvene tehničke izazove povezane s verifikacijom vlasništva i dinamičkim dodjeljivanjem adresa. Većina korisnika interneta komunicira sa servisima putem domenskih imena, poput letsencrypt.org, a ne putem numeričkih adresa kao što su 54.215.62.21 (IPv4) ili 2600:1f1c:446:4900::65 (IPv6). Zbog toga su IP certifikati specijalizirana, ali ključna komponenta infrastrukture.
Nova vrsta certifikata rješava nekoliko kritičnih scenarija upotrebe unutar moderne internetske infrastrukture. Pružaoci usluga hostinga sada mogu nuditi sigurne stranice za podrazumijevano prikazivanje kada korisnici slučajno pristupe serverima putem IP adresa, čime se uklanjaju upozorenja o sigurnosti u preglednicima. Pored toga, ovi certifikati omogućavaju sigurnu implementaciju DNS-a preko HTTPS-a (DoH), dozvoljavajući DoH serverima da efikasnije autentifikuju svoj identitet klijentima. Analitičari Let’s Encrypta su identifikovali ove scenarije kao naročito vrijedne za pružaoce usluga u oblaku koji upravljaju efemernim konekcijama između backend servera, te za proizvođače IoT uređaja koji zahtijevaju sigurnu mogućnost udaljenog pristupa.
Tehnička implementacija IP adresnih certifikata podrazumijeva stroge sigurnosne zahtjeve koji se značajno razlikuju od standardnih domenskih certifikata. Let’s Encrypt nalaže da svi IP adresni certifikati moraju biti kratkotrajni, sa periodima važenja ograničenim na otprilike šest dana. Ova politika rješava inherentne sigurnosne rizike povezane s vlasništvom IP adresa, posebno dinamičku prirodu dodjeljivanja IP adresa od strane provajdera internetskih usluga. Proces izdavanja certifikata zahtijeva da ACME klijenti podržavaju nacrt specifikacije ACME profila i da eksplicitno zatraže “kratkotrajni” profil. Validacijski proces isključuje metode DNS izazova, ograničavajući autentifikaciju na tipove http-01 i tls-alpn-01. Ovo ograničenje osigurava da podnosioci zahtjeva za certifikat demonstriraju stvarni nadzor nad IP adresom putem HTTP ili TLS protokola, umjesto manipulacije DNS-om. Trenutno dostupna u staging okruženjima, usluga će biti prebačena u produkcijsku fazu kasnije tokom 2025. godine, što će se poklopiti sa općim izdavanjem funkcionalnosti kratkotrajnih certifikata.
