Шесть дней тишины — Let's Encrypt дала IP временную броню
Временная защита для тех, кто не любит надолго.
Let's Encrypt начала выдавать сертификаты для IP-адресов. Первый такой сертификат был выпущен 1 июля 2025 года, спустя почти десять лет после запуска сервиса. Новая возможность анонсировалась в январе и теперь начинает поэтапно внедряться для всех пользователей.
В отличие от традиционных сертификатов, которые выпускаются для доменных имён, новые удостоверяют конкретный IP-адрес — например, 54.215.62.21 (IPv4) или 2600:1f1c:446:4900::65 (IPv6). Хотя большая часть интернет-услуг опирается на доменные имена, есть сценарии, в которых сертификаты для IP могут быть полезны. Среди них — защита инфраструктурных сервисов вроде DNS over HTTPS, обеспечение безопасности удалённого доступа к домашним устройствам и защита облачных соединений между временными серверами.
Ранее такая функция была доступна лишь у ограниченного числа центров сертификации. Let's Encrypt не спешила с внедрением, ожидая поддержки краткоживущих сертификатов и новых политик ACME. Теперь сертификаты на IP-адреса можно получать через ACME-клиенты с поддержкой draft ACME Profiles и включённым профилем shortlived. Такие сертификаты действительны лишь 6 дней, а в качестве методов проверки допустимы только http-01 и tls-alpn-01.
Разработчики объясняют, что выпуск IP-сертификатов имеет ограничения. IP-адреса часто меняются, особенно у домашних пользователей, что затрудняет подтверждение их «владения». Кроме того, один IP может обслуживать сразу несколько сайтов, из-за чего соединение напрямую по адресу может не сработать.
Тем не менее, функция может оказаться полезной для хостеров, чтобы предотвратить ошибки в браузере при открытии IP напрямую, и для тех, кто по тем или иным причинам не использует домены. Let's Encrypt подчёркивает, что большинство пользователей по-прежнему будут использовать сертификаты на доменные имена.
Сейчас получить IP-сертификат можно только в тестовой среде Staging. Полноценный запуск в продуктивной среде (Prod) запланирован на конец 2025 года. До этого момента возможность будет ограничена избранными партнёрами.