Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Let’s Encrypt wprowadza darmowe certyfikaty dla adresów IP
Let’s Encrypt, jeden z najpopularniejszych na świecie wystawców darmowych certyfikatów TLS, informuje na swoim blogu o dwóch nowościach, które są już dostępne dla wszystkich użytkowników.
Pierwszą z nich są certyfikaty wystawiane na adres IP zamiast domeny. Zostały one zapowiedziane rok temu, w lipcu udostępniono możliwość ich otrzymywania w formie testu, a obecnie weszły do produkcyjnej oferty. Wystawianie certyfikatów na adres IP nie jest specjalnie popularne, ale w niektórych zastosowaniach bywa niezbędne. Przykładem takich zastosowań mogą być serwery DoH (DNS over HTTPS), serwery WWW dostawców hostingu, czy infrastruktura chmurowa.
TLDR:
- certyfikaty TLS dla adresów IP wchodzą do oferty
- dodana została opcja korzystania z certyfikatów ważnych 160 godzin
- skrócenie czasu życia certyfikatów do 45 dni czeka także podstawowe certyfikaty
- zmiany motywowane są podniesieniem bezpieczeństwa i problemami z istniejącymi mechanizmami unieważniania certyfikatów
Drugą zmianą jest wprowadzenie opcji krótko żyjących certyfikatów. W przypadku Let’s Encrypt będą one wystawiane na 160 godzin, czyli nieco ponad 6 dni. Ich wprowadzenie motywowane jest zwiększeniem bezpieczeństwa. Ponieważ żaden z istniejących mechanizmów unieważniania certyfikatów nie był bez wad ani niezawodny, zdarzały się sytuacje, gdy unieważnione certyfikaty były nadal traktowane przez klientów jako zaufane. Skrócenie okresu ważności certyfikatów ogranicza okno czasowe, w którym mogą zostać użyte przez osoby nieuprawnione, jednocześnie nie wymagając żadnych działań po stronie klientów. Poza respektowaniem daty wygaśnięcia certyfikatu, rzecz jasna.
Skrócenie okresu ważności wystawianych certyfikatów dotknie też obecnych użytkowników Let’s Encrypt, korzystających ze zwykłych certyfikatów. Zapowiadane jest skrócenie ważności certyfikatu z obecnych 90 dni o połowę. Jednak na przygotowanie się do tej zmiany zostało jeszcze trochę czasu – obowiązkowa dla wszystkich klientów będzie dopiero w 2028 r.
~Paweł Różański
a kiedy smime?
Skracanie ważności certyfikatów zwiększa kontrolę. Nie zwiększa bezpieczeństwa.
To nie wystawca certyfikatu powinien decydować czy ktoś jest “uprawniony” do jego użycia. A właśnie o to tutaj chodzi.
Jeśli będziecie się wszyscy zgadzać na takie zmiany, to pomachacie niedługo wolności z dużej odległości. Polecam się zastanowić nad takim postępowaniem.