Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты

16.01.2026 22:18

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями). 13 мая намерены добавить поддержку опциональной выдачи сертификатов, действующих 45 дней. В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней.

Доступные с сегодняшнего дня сертификаты для IP-адресов выдаются на 6 дней и позволяют настроить защищённый шифрованный доступ к хостам не только при использовании доменных имён, но и при обращении напрямую по IP-адресу. Защищённое обращение к web-серверу по IP-адресу может быть полезно при взаимодействии с домашними устройствами; при начальной настройке или тестировании новых серверов; для организации шифрованных соединений между бэкендами во внутренней инфраструктуре; для создания показываемых при обращении по IP страниц-заглушек; при развёртывании личных серверов; для организации доступа к серверам DoH (DNS over HTTPS) напрямую по IP.

Сертификаты для доменов, время действия которых ограничено 6 днями, могут применяться для повышения безопасности инфраструктуры - в случае незаметной утечки сертификата в результате взлома, короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга.

Для запроса короткоживущего сертификата для домена и сертификата для IP-адреса требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля "shortlived". Для подтверждения владения IP-адресом можно использовать только методы http-01 и tls-alpn-01 (метод dns-01 запрещён).

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64628-letsencrypt

Ключевые слова: letsencrypt, cert

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.1, Аноним (1), 22:21, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Ждём сертификаты на 1 час через пару лет.

2.9, Аноним (9), 22:54, 16/01/2026 [^] [^^] [^^^] [ответить]	+5 +/–
SNAP-талоны на однократное посещение сайта.

2.24, Аноним (24), 23:21, 16/01/2026 [^] [^^] [^^^] [ответить]	+1 +/–
> Ждём сертификаты на 1 час через пару лет. слишком много, на каждую сессию - свой!

1.3, al (??), 22:24, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну как же dns-01 запретили? ))))

2.4, нах. (?), 22:28, 16/01/2026 [^] [^^] [^^^] [ответить]	+/–
нишмагли осилить парсинг in-addr.arpa (при том что так-то на первый и второй погляд - ЭТИ зоны понадежнее прямых, поскольку кому попало не выдаются, и перехватить их посложнее будет)

1.5, нах. (?), 22:38, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]

+2 +/–

следующий ход - запритить-запритить всем браузерам работать с self-signed и нешифрованным http окончательно и бесповоротно.

Хочешь поменять настройки в своем тплинке или к умному телевизору подцепиться или еще какому интернету вшей - вешай на них паблик адрес и выставляй голым задом в интернет.

1.6, Аноним (6), 22:43, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
>короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга Это надо понять и признать, что сейчас интернет быстро расширяется и всё больше на него завязано, так, что всё логично и вопросом безопасности стоит задаться: - https://habr.com/ru/articles/968218/ - https://opennet.ru/56830-tls

2.18, Аноним (18), 23:04, 16/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Кому надо, тот будет по будильнику перетыркивать патчкорд в ДЦ на пару секунд, для перехвата серта. Как оно было с одним хмпп сервером.

3.31, нах. (?), 23:44, 16/01/2026 [^] [^^] [^^^] [ответить]

+/–

кому надо знает что для этого физически ничего никуда тыкать не надо.
Более того, с одним xmpp сервером вероятнее всего вообще не злой умысел (изначально) а руки из вот оттуда. Ну а то что в той же стойке оказались немного не самые хорошие ребята, для той помойки тоже вполне обычно - мне в свое время достался адресок (а возможно и физически сервер) какого-то изрядно мощного судя по траффику координационного центра ботнетов, другой раз - чей-то явно нерядовой vpn (рядовые не используют ip over dns, это даже для китая перебор)

Думаю, владельцы того и другого обрадовались бы, получив такой вот подарок.

1.7, Аноним (9), 22:43, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> контролируемый сообществом Откуда такая информация?

2.8, Аноним (6), 22:53, 16/01/2026 [^] [^^] [^^^] [ответить]	–3 +/–
Отсюда: https://letsencrypt.org/about/

3.11, Аноним (9), 22:56, 16/01/2026 [^] [^^] [^^^] [ответить]	+/–
Сами про себя на своём сайте? Может, кто-то расскажет, чей CA стоит на вершине цепочки?

4.13, Аноним (6), 22:59, 16/01/2026 [^] [^^] [^^^] [ответить]	+/–
Ознакомьтесь с историей создания: https://en.wikipedia.org/wiki/Let%27s_Encrypt

4.26, Аноним (26), 23:32, 16/01/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Сейчас летсенкрипт не зависит в цепочке ни от какого другого CA. Но сообщество состит из этих ребят https://www.abetterinternet.org/sponsors/ Let's Encrypt это не хорошо и не плохо, это просто окончательное и безповоротное закрытие кормушек для других CA. Потому, что aws, google, ovh и другие ребята решили, что катлету делить с мухами вроде комодо это неправильно.

5.30, Аноним (6), 23:38, 16/01/2026 [^] [^^] [^^^] [ответить]	+/–
Спонсоров там много (*прокрутите вниз): https://letsencrypt.org

5.42, Аноним (9), 00:13, 17/01/2026 [^] [^^] [^^^] [ответить]	+/–
> не зависит в цепочке ни от какого другого CA Прям чудеса! А ты попробуй в браузере тыкнуть по значку и посмотреть всю цепочку...

3.12, Аноним (9), 22:59, 16/01/2026 [^] [^^] [^^^] [ответить]	+/–
> называть себя сообществом Дело не в том, как назвать себя... Дело тут немного в другом... Кто подписал их? :) (вопрос риторический) Почему никакое другое сообщество не прокатит?

4.33, Аноним (-), 23:47, 16/01/2026 [^] [^^] [^^^] [ответить]

+/–

> Кто подписал их?

А разве кто-то должен подписывать?

> Почему никакое другое сообщество не прокатит?

Ну так сделайте свое сообщество. Выдавайте сертификаты на 100 лет вперед.

1.19, Аноним (18), 23:08, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями) Ну, в принципе, логично. IP проще сменить, чем домен. Да и не всегда он по твоей воле меняется.

1.21, Аноним (24), 23:19, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
кто там кричал, что частая смена паролей никак не влияет на безопасность, объясните свою логику LE.

2.29, нах. (?), 23:37, 16/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
LE прекрасно знает что это влияет на безопасность ровно отрицательнымм образом. Для того и работают. Как и пропагандисты обязательных смен нескомпроментированных паролей раз в три часа.

3.36, Аноним (6), 23:48, 16/01/2026 [^] [^^] [^^^] [ответить]	+/–
>это влияет на безопасность ровно отрицательнымм образом Почему же ?

3.37, Аноним (24), 23:51, 16/01/2026 [^] [^^] [^^^] [ответить]	+/–
> нескомпроментированных а это такие волшебные пароли? Бабушка Ванга нашептала, что они "нескомпроментированны"?

1.34, myster (ok), 23:47, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Есть ли какой-то способ, чтобы сертификат действовал и для локальной подсети IP-адресов? Может быть, в CSR-файл можно добавить специальные строки?

1.35, Аноним (35), 23:48, 16/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней. Лапша про увеличение безопасности, ИМХО это просто прикрытие меркантильного интереса. Элементарная двухходовка: При уменьшении времени жизни сертификатов кратно возрастет нагрузка на инфраструктуру. Далее последуют требования к сообществу об увеличении финансирования.

2.39, Аноним (39), 00:01, 17/01/2026 [^] [^^] [^^^] [ответить]	+/–
Окно овертона, сначала на поклон ходишь к барину чаще. Потом сертификат через госуслуги.

2.41, Аноним (24), 00:02, 17/01/2026 [^] [^^] [^^^] [ответить]

+/–

> Лапша про увеличение безопасности

Лашпа таки обратное, тут https://www.opennet.ru/opennews/art.shtml?num=64541 в 9.74, Аноним (7), 15:35, 03/01/2026 конкретно построчно все расписано.

> При уменьшении времени жизни сертификатов кратно возрастет нагрузка на инфраструктуру. Далее последуют требования к сообществу об увеличении финансирования.

А что они должны кому-то делать это бесплатно? Вам провайдер повышает тарифы за ынтернет под соусом "увеличения" скорости передачи? "Элементарная двухходовка" именно в этом случае, чтобы увеличить прибыль им надо больше клиентов, а больше клиентов это ресурсов больше, ну вот и следствие повышения тарифов, чтобы купить ресурсы.

1.38, Аноним (39), 00:00, 17/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Где они были, когда это было мне нужно, я вас спрашиваю.

1.40, cheburnator9000 (ok), 00:02, 17/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Лучше бы они сделали свой аналог sslip.io и давали возможность получить домен на IP адрес в виде HEX notation. Например, 334B3513.nip.io валидный ресурс в случае sslip и letsencrypt так получить можно и работает.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: