- Let’s Encrypt начал выдавать бесплатные TLS-сертификаты для IP-адресов с ограничением срока действия в 6 дней (160 часов).
- Планируется сокращение максимального срока действия сертификатов: до 64 дней в феврале 2027 года и до 45 дней в феврале 2028 года.
- Для получения короткоживущих сертификатов требуется поддержка специального профиля протокола ACME с ограничениями на методы подтверждения владения IP-адресом.
Центр сертификации Let’s Encrypt расширил ассортимент выдаваемых бесплатных TLS-сертификатов, начав с 15 января 2026 года выдачу сертификатов, предназначенных непосредственно для IP-адресов, с максимальным сроком действия 6 суток (160 часов). Это позволяет настраивать защищённые соединения по IP, что особенно актуально для домашней техники, тестирования серверов, внутренней инфраструктуры и защиты серверов DoH.
Кроме того, для доменных имён стала доступна выдача сертификатов с таким же коротким сроком действия, что улучшает безопасность: при возможной компрометации сертификата злоумышленники не смогут долго использовать украденный ключ, существенно снижая риски фишинга и подделки трафика. Для получения таких сертификатов необходимо использовать ACME-клиенты с поддержкой профиля shortlived, что предусматривает определённые технические требования и запрещает метод подтверждения владения через DNS.
В долгосрочной перспективе Let’s Encrypt планирует продолжить уменьшение максимального срока действия сертификатов, чтобы повысить уровень безопасности во всем интернете. Уже с 13 мая 2026 года будет добавлен опциональный выпуск сертификатов на 45 дней. А с 10 февраля 2027 года срок действия всех выпускаемых сертификатов сократится сначала до 64 дней, а с 16 февраля 2028 года — до 45 дней. Такие меры соответствуют рекомендациям CA/Browser Forum и призваны снизить время возможного уязвимого периода после компрометации сертификатов и ускорить внедрение более современных криптографических решений.
Ранее, в августе 2025 года, Let’s Encrypt отказался от поддержки OCSP-респондера для оконечных сертификатов, отдав предпочтение спискам отзыва (CRL) и определённым профилям сертификатов, не содержащим информацию о проверке статуса. Это решение является частью общей стратегии повышения надёжности и безопасности выпускаемых сертификатов.
Таким образом, Let’s Encrypt продвигает инновационные изменения, позволяющие обеспечивать защищённое соединение как для традиционных доменных имён, так и для IP-адресов, при этом повышая общую безопасность за счёт сокращения срока действия сертификатов и совершенствования механизмов их выдачи.
