Let’s Encrypt: már IP-címekhez is kérhető TLS-tanúsítvány – mindössze hatnapos érvényességgel

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A saját szervert üzemeltetők és otthoni laborok kedvelői számára régóta várt fejlesztés vált valóra. A Let’s Encrypt, az ingyenes, automatizált és nyílt hitelesítésszolgáltató január közepétől hivatalosan is elérhetővé tette az IP-cím alapú TLS/SSL-tanúsítványokat, valamint az úgynevezett rövid élettartamú tanúsítványokat. Ez alapjaiban változtatja meg azt a szemléletet, hogy a biztonságos HTTPS-kapcsolatok kizárólag domainnevekhez kötődhetnek.

A Let’s Encrypt eddig szinte kizárólag DNS-nevekhez (domain name) adott ki nyilvánosan megbízható tanúsítványokat, ami sok esetben felesleges többletmunkát jelentett az olyan rendszereknél, amelyek közvetlenül IPv4- vagy IPv6-címen érhetők el. Január 15-től azonban már IP-címre is igényelhető tanúsítvány, így egy szolgáltatás HTTPS-en keresztül akkor is biztonságosan elérhetővé tehető, ha nincs mögötte regisztrált domainnév.

Az IP-címhez kiadott tanúsítványok sajátossága, hogy kötelezően rövid élettartamúak. Ezek 160 óráig, azaz alig több mint hat napig érvényesek, ami tudatos tervezési döntés a Let’s Encrypt részéről. Az IP-címek kiosztása és tulajdonjoga gyakran változik, különösen felhős környezetekben vagy ideiglenes infrastruktúráknál, ezért a rövidebb érvényességi idő jelentősen csökkenti annak kockázatát, hogy egy tévesen kiadott vagy elavult tanúsítvány hosszú ideig megbízhatónak számítson.

Az IP-cím tanúsítványok bevezetésével párhuzamosan a Let’s Encrypt általánosan elérhetővé tette a rövid élettartamú domainnév-alapú tanúsítványokat is. Ezek opcionálisan választhatók, és egy ACME kliensben a shortlived profil használatával igényelhetők. A klasszikus 90 napos érvényesség helyett itt is mindössze hat napról beszélünk, ami azt jelenti, hogy egy kompromittált privát kulcs kockázata eleve időben korlátozott, visszavonás (revocation) nélkül is.

Egy IP-címre szóló rövid élettartamú tanúsítvány igényléséhez olyan ACME kliensre van szükség, amely már támogatja ezt az új profilt, például a Certbot friss verziójára. Az azonosítás során a publikus IP-címet kell megadni, és a Let’s Encrypt jelenleg a HTTP-01 vagy a TLS-ALPN-01 kihívásokat (challenge) támogatja az ellenőrzéshez. Fontos, hogy a kliens és a környezet is naprakész legyen, mivel ez a funkció teljesen új.

A bejelentéssel együtt a Let’s Encrypt megerősítette korábbi terveit is, amelyek szerint a következő években a jelenlegi 90 napos alapértelmezett tanúsítvány-élettartamot fokozatosan 45 napra csökkenti. Ez illeszkedik abba a hosszú távú stratégiába, amely a rövidebb érvényességi idejű, automatizált megújításra épülő bizalmi modelleket részesíti előnyben.

Gyakorlati szempontból az IP-cím tanúsítványok valódi áttörést jelentenek az önkiszolgáló és kísérleti rendszerek világában. Nincs többé szükség domainnév regisztrálására és karbantartására pusztán a HTTPS miatt, ami különösen hasznos otthoni szervereknél, ideiglenes tesztrendszereknél, homelab környezetekben vagy rövid életű, internetre kinyitott eszközöknél. A fejlesztésről további részletek a Let’s Encrypt hivatalos bejelentésében olvashatók.