Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями). 13 мая намерены добавить поддержку опциональной выдачи сертификатов, действующих 45 дней. В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года — до 45 дней.

Доступные с сегодняшнего дня сертификаты для IP-адресов выдаются на 6 дней и позволяют настроить защищённый шифрованный доступ к хостам не только при использовании доменных имён, но и при обращении напрямую по IP-адресу. Защищённое обращение к web-серверу по IP-адресу может быть полезно при взаимодействии с домашними устройствами; при начальной настройке или тестировании новых серверов; для организации шифрованных соединений между бэкендами во внутренней инфраструктуре; для создания показываемых при обращении по IP страниц-заглушек; при развёртывании личных серверов; для организации доступа к серверам DoH (DNS over HTTPS) напрямую по IP.

Сертификаты для доменов, время действия которых ограничено 6 днями, могут применяться для повышения безопасности инфраструктуры — в случае незаметной утечки сертификата в результате взлома, короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга.

Для запроса короткоживущего сертификата для домена и сертификата для IP-адреса требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля «shortlived«. Для подтверждения владения IP-адресом можно использовать только методы http-01 и tls-alpn-01 (метод dns-01 запрещён).

Источник: http://www.opennet.ru/opennews/art.shtml?num=64628