Let’s Encrypt már IP-címekhez is kínál tanúsítványt – Új lehetőségek a titkosításban

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

2025. július 1-jétől új korszak kezdődik a webes titkosítás világában: a Let’s Encrypt, az ingyenes és automatizált TLS-tanúsítványokat kiadó nonprofit szervezet immár nemcsak domainnevekhez, hanem közvetlen IP-címekhez is képes tanúsítványt kibocsátani. Ez a változás sok szempontból radikálisnak mondható, hiszen a szervezet fennállásának közel tíz éve alatt kizárólag a DNS-alapú, domainnévhez kötött tanúsítványkiadásra koncentrált. Most azonban egy új igényt ismertek el hivatalosan: nem minden kiszolgáló vagy eszköz működik domainnév mögött.

A hagyományos tanúsítványok kiadásának középpontjában az állt, hogy a felhasználók és szolgáltatások domainneveket használnak – ez a gyakorlat rugalmasságot biztosít, hiszen a domainhez tartozó IP-cím bármikor megváltozhat anélkül, hogy új tanúsítványt kellene beszerezni. Az IP-alapú tanúsítványok viszont statikus vagy rövid életű infrastruktúrák esetében lehetnek indokoltak, ahol nincs lehetőség vagy szükség DNS használatára. Ez gyakran előfordul például otthoni laborokban (home lab), IoT-eszközöknél, vagy épp felhőalapú szolgáltatások gyorsan létrejövő példányaiban, amelyekhez az IP-cím hamarabb elérhető, mint a hozzájuk rendelt DNS-rekord.

A Let’s Encrypt új szolgáltatása szigorú feltételek mellett működik. Az IP-címhez kiadott tanúsítványok csak rövid élettartamúak lehetnek, jellemzően körülbelül 6 napig (144 óráig) érvényesek. Ez a korlátozás segít csökkenteni annak kockázatát, hogy egy IP-cím új tulajdonoshoz kerülése után is érvényes maradjon egy korábban kiadott tanúsítvány. Továbbá az ilyen tanúsítványok kiadásához az ügyfélnek támogatnia kell az ACME Profiles szabványt, amely lehetővé teszi a speciális hitelesítési feltételek rögzítését. A DNS-ellenőrzés (DNS-01) nem érhető el ebben az esetben; kizárólag a HTTP-01 és TLS-ALPN-01 kihívások alkalmazhatók a hitelesítésre.

A funkció jelenleg még csak a Let’s Encrypt staging környezetében érhető el, ahol a fejlesztők és rendszergazdák tesztelhetik a működését és visszajelzést küldhetnek. A végleges, produkciós bevezetés 2025 második felére várható, és a Let’s Encrypt célja, hogy ezzel együtt általánossá tegye a rövid élettartamú tanúsítványokat is, amelyek biztonsági szempontból kedvezőbbek lehetnek a jelenlegi 90 napos érvényességű tanúsítványoknál.

Bár a legtöbb weboldal-üzemeltető számára továbbra is a domainalapú tanúsítványok maradnak az elsődleges és ajánlott megoldás, az IP-alapú hitelesítés bevezetése lehetőséget nyújt olyan területeken, ahol a DNS nem áll rendelkezésre vagy nem megbízható. Ezek közé tartozik például a DNS-cenzúra kikerülését célzó szolgáltatások (mint a DNS-over-HTTPS), vagy olyan környezetek, ahol az IP-címek gyorsan változnak, de mégis szükség van titkosított kapcsolatra.

A Let’s Encrypt újítása egyszerre szolgálja a technikai rugalmasságot és a biztonságot, miközben továbbra is elérhető és nyílt marad minden felhasználó számára. Ha valaki IP-alapú kiszolgálón szeretne biztonságos HTTPS-kapcsolatot beállítani, most már hivatalosan is megteheti azt Let’s Encrypt segítségével – mindössze néhány naponta meg kell újítani a tanúsítványt. Ez egy kis kompromisszum az ingyenes, automatizált és megbízható titkosításért cserébe.