Крупнейший некоммерческий удостоверяющий центр Let's Encrypt, известный своей миссией по бесплатному и простому шифрованию всего интернета, объявил о значимом расширении своих услуг. Проект начал массовую выдачу TLS-сертификатов, действующих всего 160 часов (около 6 дней), а также впервые предложил сертификаты, привязанные непосредственно к IP-адресам. Эти нововведения призваны повысить безопасность, сократив окно уязвимости в случае компрометации, и расширить сценарии использования защищённых соединений.
До сих пор стандартный срок действия бесплатных сертификатов Let's Encrypt составлял 90 дней. Новая опция «shortlived» (короткоживущие) позволяет пользователям, чьи процессы обновления полностью автоматизированы, перейти на 6-дневный цикл. Короткий срок жизни сертификата является мощным механизмом безопасности. Если приватный ключ сертификата будет скомпрометирован в результате взлома, традиционным способом смягчения ущерба была его отзыв. Однако система отзыва сертификатов исторически ненадёжна, и многие системы продолжают принимать отозванные сертификаты до истечения их срока действия. Короткоживущие сертификаты кардинально сокращают этот период потенциальной уязвимости с 90 дней до менее чем недели, автоматически сводя на нет угрозу при очередном обновлении.
Важно отметить, что короткоживущие сертификаты пока являются опциональными, и Let's Encrypt не планирует делать их обязательными по умолчанию. Центр понимает, что не все пользователи полностью автоматизировали процессы обновления. Однако общий тренд на сокращение срока действия сертификатов остаётся неизменным. Ранее объявленный план предполагает постепенное сокращение максимального срока для стандартных сертификатов: с 90 до 64 дней 10 февраля 2027 года и до 45 дней 16 февраля 2028 года. Более того, 13 мая этого года будет добавлена опция получения сертификатов с 45-дневным сроком жизни, что позволит пользователям заранее адаптировать свою инфраструктуру.
Параллельно с этим Let's Encrypt запустил поддержку сертификатов для IP-адресов, что является долгожданным новшеством. Ранее TLS-сертификаты выдавались только для доменных имён. Теперь можно настроить шифрованное HTTPS-соединение при прямом обращении к серверу по его IPv4 или IPv6-адресу. Это открывает ряд практических сценариев. Например, организация защищённого доступа к домашним устройствам или персональным серверам, начальная настройка и тестирование новых сервисов до привязки домена, создание зашифрованных каналов между внутренними компонентами инфраструктуры (бэкендами) или развёртывание серверов DoH (DNS over HTTPS), доступных напрямую по IP.
По соображениям безопасности сертификаты для IP-адресов выдаются исключительно в короткоживущем формате (на 6 дней). Это решение обусловлено тем, что IP-адреса, особенно в динамических средах, могут менять владельца чаще, чем доменные имена. Следовательно, более частая валидация прав на адрес критически важна. Для получения такого сертификата подтверждение владения IP-адресом возможно только методами http-01 или tls-alpn-01; использование метода dns-01 не разрешено.
Для запроса как короткоживущих доменных сертификатов, так и сертификатов для IP требуется, чтобы используемый ACME-клиент поддерживал расширение протокола для работы с профилями, включая профиль «shortlived». Пользователям, которые уже автоматизировали обновления с помощью, например, клиента Certbot, для перехода на новую модель, вероятно, потребуется обновить конфигурацию или сам клиент.
Разработка этих новых функций стала возможной благодаря финансовой поддержке Open Technology Fund и Sovereign Tech Agency, а также многочисленных спонсоров и доноров Let's Encrypt. Внедрение короткоживущих сертификатов и сертификатов для IP-адресов отражает эволюцию подходов к PKI (Инфраструктуре открытых ключей) в сторону модели, где безопасность обеспечивается не отзывом, а предельно коротким жизненным циклом и полной автоматизацией. Эти шаги укрепляют позицию Let's Encrypt как ключевого драйвера, делающего шифрование по умолчанию доступным, удобным и, что самое важное, более безопасным для всего интернета.
