Let’s Encrypt, najveći svjetski autoritet za izdavanje sertifikata, objavio je svoju spremnost za početak izdavanja SSL/TLS sertifikata za IP adrese putem svog produkcijskog okruženja, što predstavlja značajan napredak u infrastrukturi internetske sigurnosti.
Ovi sertifikati biće dostupni isključivo pod kratkoročnim profilom organizacije, s dotad neviđenim periodom važenja od šest dana, što označava promjenu paradigme prema ultra-kratkim životnim ciklusima sertifikata.
Let’s Encrypt će izdavati SSL sertifikate direktno za IP adrese s periodom važenja od 6 dana. Ova funkcionalnost je ograničena na odabranu listu korisnika, bez javno dostupnog rasporeda ili mogućnosti prihvata zahtjeva. Omogućava HTTPS konekcije ka IP adresama bez domena, što je korisno za interne mreže i IoT uređaje. Tokom testiranja su otkriveni problemi s prikazom u Firefoxu, koji zahtijevaju ispravke prije javnog lansiranja.
Nova funkcionalnost sertifikata za IP adrese koristi sistem kratkoročnih profila Let’s Encrypta, koji implementira automatizovano upravljanje sertifikatima sa drastično smanjenim periodima važenja u poređenju s tradicionalnim 90-dnevnim sertifikatima. Ovaj pristup rješava nekoliko kritičnih sigurnosnih problema minimizirajući period izloženosti u slučaju kompromitovanja sertifikata. Kratkoročni profil koristi napredne kriptografske protokole i mehanizme automatskog obnavljanja kako bi se osigurala besprekorna rotacija sertifikata bez prekida usluge. Tehničke specifikacije ukazuju na to da ovi sertifikati podržavaju Subjekt Alternativna Imena (SAN) za IP adrese, omogućavajući direktne HTTPS konekcije ka IP adresama umjesto zahtijevanja rezolucije imena domena. Ova funkcionalnost je posebno vrijedna za interne mreže, razvojna okruženja i implementacije interneta stvari (IoT) gdje tradicionalni sertifikati zasnovani na domenama predstavljaju operativne izazove. Implementacija prati RFC 5280 standarde za X.509 sertifikate, istovremeno integrirajući vlasničke protokole automatizacije Let’s Encrypta.
Uvođenje funkcionalnosti je i dalje u fazi kontrolisanog testiranja, s pristupom ograničenim na sistem zasnovan isključivo na odobrenim listama korisnika. Osoblje Let’s Encrypta potvrdilo je da organizacija nije uspostavila javni raspored lansiranja i trenutno ne prihvata zahtjeve za uvrštavanje na odobrenu listu od potencijalnih korisnika. Ovakav oprezan pristup omogućava sveobuhvatno testiranje i usavršavanje infrastrukture za izdavanje sertifikata prije šireg uvođenja. Uzorak privremenog sertifikata demonstrira funkcionalnost, dostupan putem IPv6 adrese 2602:ff3a:1:abad:c0f:fee:abad:cafe, pružajući mogućnosti testiranja u realnim uslovima za zainteresovane strane. Privremeno okruženje omogućava developerima i sistemskim administratorima da procijene ponašanje sertifikata i zahtjeve za integraciju bez uticaja na produkcijske sisteme. Dnevnici transparentnosti sertifikata će evidentirati sve izdane sertifikate, održavajući posvećenost Let’s Encrypta javnom nadzoru sertifikata. Početna testiranja su već identifikovala probleme kompatibilnosti, uključujući grešku u prikazu u Firefoxovom rukovanju SAN-ovima za IP adrese. Ovo otkriće naglašava važnost kontrolisanog pristupa uvođenju, omogućavajući identifikaciju i rješavanje problema specifičnih za preglednike prije javne dostupnosti. Period važenja od šest dana, iako predstavlja izazov za tradicionalne prakse upravljanja sertifikatima, u skladu je s industrijskim trendovima ka kraćim životnim ciklusima sertifikata i poboljšanim sigurnosnim stanjima. Organizacije koje se pripremaju za ovu funkcionalnost trebale bi procijeniti svoje mogućnosti automatizacije upravljanja sertifikatima kako bi se nosile s povećanim zahtjevima za učestalošću obnavljanja.
