Let’s Encrypt, najveći svjetski autoritet za izdavanje sertifikata, objavio je svoju spremnost za početak izdavanja SSL/TLS sertifikata za IP adrese putem svog produkcijskog okruženja, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti. Ovi sertifikati će biti dostupni isključivo pod postojećim profilom kratkog trajanja ovog autoriteta, sa periodom važenja od šest dana, što signalizira promjenu ka ultra-kratkim životnim ciklusima sertifikata.
Nova funkcionalnost za sertifikate IP adresa koristi sistem profila kratkog trajanja Let’s Encrypta, koji implementira automatizovano upravljanje sertifikatima sa drastično smanjenim periodima važenja u poređenju sa tradicionalnim 90-dnevnim sertifikatima. Ovakav pristup rješava nekoliko ključnih sigurnosnih problema minimiziranjem prozora izloženosti u slučaju kompromitovanja sertifikata. Profil kratkog trajanja koristi napredne kriptografske protokole i mehanizme automatskog obnavljanja kako bi se osigurala besprekorna rotacija sertifikata bez prekida usluge. Tehničke specifikacije ukazuju na to da ovi sertifikati podržavaju alternativna imena subjekata (SANs) za IP adrese, omogućavajući direktne HTTPS veze sa IP adresama umjesto zahtijevanja rješavanja imena domena. Ova funkcionalnost je posebno korisna za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT) gdje tradicionalni sertifikati zasnovani na domenima predstavljaju operativne izazove. Implementacija je u skladu sa RFC 5280 standardima za X.509 sertifikate, uz integraciju vlasničkih protokola za automatizaciju Let’s Encrypta.
Uvođenje ove funkcionalnosti je i dalje u fazi kontrolisanog testiranja, sa pristupom ograničenim na sistem zasnovan isključivo na odobrenim listama. Osoblje Let’s Encrypta je potvrdilo da organizacija još uvijek nije uspostavila javni vremenski okvir za lansiranje i trenutno ne prihvata zahtjeve za uvrštavanje na odobrenu listu od potencijalnih korisnika. Ovaj oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje sertifikata prije šireg uvođenja. Probni sertifikat demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u stvarnom svijetu za zainteresovane strane. Probno okruženje omogućava razvojnim inženjerima i administratorima sistema da procijene ponašanje sertifikata i zahtejeve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti sertifikata će bilježiti sve izdane sertifikate, održavajući posvećenost Let’s Encrypta javnom nadzoru sertifikata. Početno testiranje je već identifikovalo probleme kompatibilnosti, uključujući grešku pri prikazu u načinu na koji Firefox obrađuje SANs IP adresa. Ovo otkriće naglašava važnost kontrolisanog uvođenja, omogućavajući identifikaciju i rješavanje problema specifičnih za pretraživače prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja sertifikatima, usklađuje se sa industrijskim trendovima ka kraćim životnim ciklusima sertifikata i poboljšanim bezbjednosnim pozicijama. Organizacije koje se pripremaju za ovu funkcionalnost trebaju procijeniti svoje mogućnosti automatizacije upravljanja sertifikatima kako bi se nosile sa povećanim zahtjevima za učestalošću obnavljanja.
