Το Let’s Encrypt, ένας βασικός πάροχος δωρεάν πιστοποιητικών TLS, έχει κυκλοφορήσει βραχυπρόθεσμα και βασισμένα σε διεύθυνση IP πιστοποιητικά για γενική χρήση. Αυτές οι νέες επιλογές έγιναν διαθέσιμες από τις αρχές του 2026, αντιμετωπίζοντας μακροχρόνια ζητήματα ασφάλειας πιστοποιητικών.
Τα βραχυπρόθεσμα πιστοποιητικά διαρκούν μόλις 160 ώρες, περίπου εξήμισι ημέρες, ενώ αυτά που βασίζονται σε IP συνδέονται απευθείας με διευθύνσεις IP αντί για ονόματα τομέα. Οι χρήστες τα ενεργοποιούν επιλέγοντας το προφίλ “μικρής διάρκειας” στον πελάτη ACME, όπως Certbot ή acme.sh.
Αυτή η κίνηση έρχεται καθώς οι οργανισμοί πιέζουν για ισχυρότερη προστασία TLS εν μέσω αυξανόμενων βασικών συμβιβασμών και επιθέσεων στην εφοδιαστική αλυσίδα. Το Let’s Encrypt ανακοίνωσε τη γενική διαθεσιμότητα σε μια ανάρτηση ιστολογίου, βασιζόμενη σε δοκιμές beta από τα τέλη του 2025.
Τα βραχυπρόθεσμα πιστοποιητικά ενισχύουν την ασφάλεια
Τα παραδοσιακά πιστοποιητικά TLS διαρκούν έως και 90 ημέρες, δημιουργώντας μεγάλα παράθυρα για ζημιές σε περίπτωση διαρροής ιδιωτικών κλειδιών. Οι εισβολείς μπορούν να εκμεταλλευτούν τα κλεμμένα κλειδιά μέχρι να ξεκινήσει η ανάκληση ή να λήξει το πιστοποιητικό.
Ωστόσο, τα συστήματα ανάκλησης, όπως τα CRL και το OCSP, συχνά αποτυγχάνουν, πολλοί πελάτες τα αγνοούν λόγω καθυστέρησης ή εσφαλμένης διαμόρφωσης. Τα βραχυπρόθεσμα πιστοποιητικά περιορίζουν απότομα αυτόν τον κίνδυνο.
Αναγκάζοντας την ανανέωση κάθε έξι ημέρες, απαιτούν νέα επικύρωση έναντι της αρχής πιστοποιητικών (CA). Αυτό μειώνει την εξάρτηση από ξεφλουδισμένη ανάκληση. Εάν ένα κλειδί συμβιβαστεί, το πιστοποιητικό πεθαίνει γρήγορα, περιορίζοντας την έκθεση σε ώρες και όχι σε εβδομάδες.
Το Let’s Encrypt τονίζει ότι αυτή είναι μόνο μια δυνατότητα επιλογής. Οι αυτοματοποιημένες ρυθμίσεις ανανεώνονται αβίαστα μέσω του ACME, αλλά οι χειροκίνητοι χρήστες μπορεί να προτιμούν να διατηρούν μεγαλύτερη διάρκεια ζωής προς το παρόν.
Η ομάδα σχεδιάζει να μειώσει κατά το ήμισυ τις προεπιλεγμένες ζωές σε 45 ημέρες τα επόμενα χρόνια, όπως περιγράφεται στην ενημέρωση του Δεκεμβρίου 2025. Αυτή η σταδιακή μετατόπιση ενθαρρύνει την αυτοματοποίηση χωρίς διακοπή. Οι πρώτοι χρήστες αναφέρουν ομαλή λειτουργία, αποδεικνύοντας βραχύβια κλίμακα πιστοποιητικών για την παραγωγή.
Πιστοποιητικά διεύθυνσης IP Συμπληρώνουν ένα κενό κλειδιού
Τα πιστοποιητικά που βασίζονται σε IP επιτρέπουν στους διακομιστές να ελέγχουν ταυτότητα TLS μέσω μη επεξεργασμένων διευθύνσεων IP, υποστηρίζοντας τόσο IPv4 όσο και IPv6. Σε αντίθεση με τα πιστοποιητικά τομέα, τα οποία χρησιμοποιούν επικύρωση DNS, αυτά συνδέονται με συγκεκριμένες IP μέσω μεθόδων επικύρωσης διεύθυνσης IP. Ας κρυπτογραφήσουμε εντολές είναι βραχύβιες, αναγνωρίζοντας τις αλλαγές IP συχνά σκέφτονται δυναμικές παρουσίες cloud ή δίκτυα κινητής τηλεφωνίας.
Οι περιπτώσεις χρήσης περιλαμβάνουν συστήματα παλαιού τύπου χωρίς τομείς, εφαρμογές με κοντέινερ σε ιδιωτικά δίκτυα και γρήγορο TLS για περιβάλλοντα δοκιμής. Η επικύρωση πραγματοποιείται μέσω προκλήσεων ACME που αποδεικνύουν τον έλεγχο της IP, συχνά μέσω απευθείας σύνδεσης. Η Let’s Encrypt εξέδωσε το πρώτο της πιστοποιητικό IP τον Ιούλιο του 2025, επικυρώνοντας την προσέγγιση.
Οι ειδικοί σε θέματα ασφάλειας το επαινούν για το κλείσιμο των κενών στα υβριδικά δίκτυα. Τα τείχη προστασίας και οι συσκευές εξισορρόπησης φορτίου μπορούν πλέον να ασφαλίζουν την κυκλοφορία μόνο με IP χωρίς λύσεις όπως πιστοποιητικά που υπογράφονται από τον εαυτό τους.
Για τους κυνηγούς απειλών και τους SecOps, αυτά τα πιστοποιητικά σημαίνουν πιο αυστηρή περιστροφή πλήκτρων και λιγότερο κυνήγι ανάκλησης. Ενσωματώστε τα σε αγωγούς CI/CD για ρυθμίσεις μηδενικής εμπιστοσύνης. Παρακολουθήστε μέσω εργαλείων όπως τα αρχεία καταγραφής διαφάνειας πιστοποιητικών για να εντοπίσετε ανωμαλίες έγκαιρα.
