В течение почти 10 лет Lets Encrypt сосредоточил свои усилия на выдаче сертификатов с проверкой домена, поскольку именно так пользователи находят веб-сайты. Превращение читаемых доменных имен в цифровые адреса с помощью системы DNS позволяет владельцам сайтов гибко управлять своей инфраструктурой без необходимости постоянного обновления сертификатов при изменении IP-адресов.
В отличие от этого, IP-адреса, особенно динамические, которые часто назначаются домашним пользователям или небольшим предприятиям, являются сменяемыми и ненадежными для долгосрочной аутентификации.
Но скоро ситуация изменится. С 1 июля 2025 года Lets Encrypt, некоммерческая организация, занимающаяся выдачей сертификатов, планирует выпустить свои первые сертификаты для IP-адресов. Как и следовало ожидать, существует ряд требований для их получения:
- Клиенты должны поддерживать спецификацию ACME Profiles для подачи запроса на сертификат.
- Сертификаты будут выдаваться только как краткосрочные (срок действия примерно 6 дней), что уменьшает риски, связанные с возможным переназначением IP-адресов.
- Поддерживаются только методы проверки HTTP-01 и TLS-ALPN-01, без использования DNS-запросов.
На данный момент эта функция доступна в тестовой среде Lets Encrypt, а полное развертывание в рамках основной системы ожидается в конце 2025 года, вместе с расширением доступности краткосрочных сертификатов.
Кому же это принесет пользу? Хотя Lets Encrypt подчеркивает, что подавляющее большинство владельцев веб-сайтов могут обойтись стандартными сертификатами для доменов, есть ситуации, когда использование IP-адреса является единственным подходящим решением:
- Инфраструктурные сервисы, такие как DNS-over-HTTPS (DoH), в которых клиенты могут указывать конкретный IP-адрес для повышения производительности или обхода цензуры.
- Устройства Интернета вещей (IoT) и домашние лабораторные устройства, например, сетевые хранилища с фиксированными WAN-адресами.
- Эфемерные облачные рабочие нагрузки, такие как временные внутренние серверы, которые выходят на публичные IP-адреса быстрее, чем обновляются записи DNS