Let’s Encrypt 6天有效期证书+IP地址支持

2025 年 7 月 1 日，Let’s Encrypt 宣布已成功颁发其首张 IP 地址证书，这一举措回应了用户多年来的需求。自 2015 年 Let’s Encrypt 开始颁发证书以来，用户一直希望能获得针对 IP 地址的证书，而此前仅有少数证书颁发机构提供该功能。

关于 IP 地址证书的背景知识

IP 地址是互联网的底层数字地址，互联网上的每个设备都有一个 IP 地址（尽管在现代实际应用中，可能会与其他设备共享，例如整个家庭网络共享一个公共 IP 地址）。互联网基础设施利用它们将通信路由到正确的目的地。IP 地址有两种形式，IPv4 和 IPv6，常见的如 54.215.62.21（IPv4）或 2600:1f1c:446:4900::65（IPv6）。

大多数互联网用户很少直接看到或提及 IP 地址，而是几乎总是使用域名（如letsencrypt.org）来访问互联网服务。域名系统（DNS）是互联网基础设施的一部分，负责让软件找到与特定域名相关联的 IP 地址。例如，当用户访问https://letsencrypt.org/时，Web 浏览器会通过 DNS 获取该网站的 IP 地址，然后才能连接并获取内容。

由于人们通常用域名来思考和谈论互联网服务，因此域名成为 Let’s Encrypt 等机构颁发的证书中通常列出的标识符。这也使得互联网服务能够更灵活地在多个位置托管或更改托管位置，而无需为每个服务器单独申请证书。

从原则上讲，完全可以为 IP 地址而非域名颁发证书，事实上，证书的技术和政策标准一直允许这样做，只是少数证书颁发机构小规模地提供这项服务。对于 Let’s Encrypt 来说，一直等到其他一些条件（如短期证书）就绪后，才为用户提供这一选项。

IP 地址证书不太常见的原因

• 域名的主导地位：互联网用户通常通过域名而非 IP 地址来识别服务，而且 IP 地址可能在毫无预兆的情况下 “幕后” 更改。例如，一个热门网站从一家云托管公司切换到另一家，只需更新 DNS 记录指向新主机，大多数用户根本不会注意到变化，尽管网站的底层 IP 地址已完全不同。
• IP 地址的不稳定性：IP 地址的 “所有权” 概念相对较弱，证书颁发机构对此的证明能力也有限。如果在家中通过住宅宽带连接托管内容，互联网服务提供商很可能不保证 IP 地址长期不变（大多数家庭用户拥有的是动态 IP 地址，而非静态 IP 地址），这意味着 IP 地址可能经常无预警地变更，旧地址还可能被分配给他人。
• 实际应用场景有限：大多数互联网服务运营商并不期望终端用户会有意直接通过 IP 地址连接到他们的网站。在某些情况下，当一个 IP 地址被不同的网站或设备共享时，仅通过 IP 地址连接甚至无法正常工作，此时为 IP 地址获取证书就没有太大意义。

Let’s Encrypt 用户可能使用 IP 地址证书的场景

• 托管提供商的默认页面：当有人将服务器的 IP 地址粘贴到浏览器中而不是具体的网站名称时（目前这种情况通常会在浏览器中产生错误），IP 地址证书可提供支持。
• 无域名时访问网站：这是一种在没有域名的情况下访问网站的方式，但与获取域名相比，在可靠性和便利性上会有一定代价。
• 保障 DNS over HTTPS（DoH）等基础设施服务：拥有证书使 DoH 服务器更容易向客户端证明自己的身份，这使得 DoH 用户或客户端在连接到 DoH 服务器时，更有可能强制要求使用有效的公共可信证书。
• 保障家庭设备的远程访问：即使没有域名，也能为一些家庭设备（如网络附加存储服务器和物联网设备）的远程访问提供安全保障。
• 保障云托管基础设施内的临时连接：例如，一台后端云服务器与另一台后端云服务器之间的连接，或者通过 HTTPS 对新的或短期的后端服务器进行管理的临时连接，只要这些服务器至少有一个可用的公共 IP 地址。

如何获取 IP 地址证书

当前 IP 地址证书目前已在 Staging 环境中可用，预计在 2025 年晚些时候，当短期证书全面可用时，也将在 Prod 环境中普遍可用。在全面可用之前，可能会允许有限数量的合作伙伴进行列表颁发，以获取反馈。

许多 Let’s Encrypt 客户端应用程序应该已经能够请求 IP 地址证书，但某些客户端软件可能需要进行微小的技术更改以支持这一功能。

政策与技术要求：

• Let’s Encrypt 颁发的涵盖 IP 地址的证书必须是短期证书，有效期仅约六天。因此，ACME 客户端必须支持 ACME 配置文件草案规范，并配置为请求 “shortlived” 配置文件。
• 不能使用 DNS 挑战方法来证明对 IP 地址的控制权，只能使用 http-01 和 tls-alpn-01 方法。
• 如果客户端软件请求的 IP 地址证书细节不符合这些政策，ACME 服务器将拒绝该订单，此时可能需要更新或重新配置客户端应用程序。

如果在使用过程中遇到任何问题，无论是作为客户端应用程序开发人员还是最终用户，都可以在 Let’s Encrypt 社区论坛上寻求帮助。

IP 地址证书的推出，是 Let’s Encrypt 在证书服务领域的又一次重要拓展，为那些有特殊需求的用户提供了更多的选择，也为互联网安全的多样化应用场景增添了新的可能。

Let's Encrypt 推出 Y 世代证书层级，包括新的根证书、弃用 TLS 客户端身份验证、上线纯IP地址证书。新的 Y 世代证书目前由 X 世代证书即 X1 和 X2 进行交叉签名，现有客户端都可以直接信任 Y 世代证书，从本周开始部分用户就可以看到签发的证书由 Y 世代根证书签署。
2025年4月，全球最大的免费证书颁发机构（CA）Let's Encrypt正式上线6天有效期证书（Short-Lived Certificates），并同步开放IP地址证书申请功能。这一变革不仅将证书生命周期压缩至行业前所未有的极限，更首次打破“域名依赖”的传统，为物联网、边缘计算等新兴场景提供“无域名化”安全方案。

一、6天证书：以“失效速度”对抗攻击窗口

安全收益的极限化

风险窗口压缩至小时级：传统90天证书私钥泄露后攻击窗口长达数月，而6天证书将风险暴露时间缩短至144小时。例如，某企业曾因证书私钥泄露导致内部数据泄露，若使用6天证书，攻击者最多仅能窃取6天内的通信数据。

吊销依赖的彻底解除：6天证书无需依赖OCSP/CRL吊销机制，自然过期特性使其成为“无需人工干预”的安全方案。Let's Encrypt官方数据显示，短周期证书可减少90%的吊销响应延迟。

自动化运维的硬性门槛

ACME协议成为标配：6天证书强制要求自动化部署，企业需通过Certbot、Vcert等工具实现证书到期前48小时自动续期。某云服务厂商测试显示，其自动化平台可支持单日续签10万张证书，错误率低于0.01%。

运维模式颠覆性变革：传统“季度更新”策略失效，企业需重构DevOps流程，将证书管理纳入CI/CD流水线。某金融机构通过GitLabCI/CD集成Let's Encrypt API，实现证书续期与代码部署同步触发。

二、IP地址证书：打破域名垄断的“无域名加密”

新兴场景的安全普惠

工业物联网的刚需突破：在工业控制网络中，设备常通过IP地址直接通信，传统域名证书难以适配。某制造企业通过IP地址证书为其PLC设备启用TLS加密，避免因中间人攻击导致生产线停摆。

边缘计算的合规落地：边缘节点通常无固定域名，IP地址证书使其满足PCI DSS等合规要求。某CDN服务商采用IP地址证书后，其边缘节点HTTPS访问成功率提升至99.99%。

验证方式的兼容性限制

仅支持HTTP-01与TLS-ALPN-01：由于IP地址无法使用DNS-01验证，企业需通过HTTP文件或ALPN协议校验所有权。某智能家居厂商通过HTTP-01验证为其路由器签发IP地址证书，实现设备出厂即加密。

浏览器兼容性待验证：尽管Chrome、Firefox等主流浏览器已支持IP地址证书，但部分旧版系统仍可能报错。Let'sEncrypt建议企业部署证书透明日志（CT）以提升兼容性。

三、行业影响：从“证书安全”到“基础设施安全”

CA机构的格局重构

免费策略颠覆付费市场：传统付费CA机构（如DigiCert、GlobalSign）需重新定价，以应对Let's Encrypt的免费冲击。某小型CA机构因未推出IP地址证书，导致其工业客户流失率达40%。

开源生态的爆发式增长：Certbot、acme.sh等开源工具新增IP地址证书支持，GitHub上相关代码库数量3个月内激增300%。

安全标准的范式转移

NIST草案新增短周期要求：美国国家标准与技术研究院（NIST）在《SP 800-57》修订草案中建议，关键基础设施应采用≤7天证书。

浏览器信任体系升级：Chrome120版本起，对6天证书的CT日志提交延迟容忍度从24小时缩短至4小时，倒逼企业优化自动化流程。

四、未来挑战：自动化与隐私的平衡术

证书风暴下的隐私风险：6天证书导致证书申请量激增15倍，可能引发用户隐私数据泄露。Let's Encrypt已终止证书到期邮件通知服务，转而推荐企业使用Red Sift等第三方监控平台。

抗量子算法的过渡窗口：NIST抗量子算法标准将于2026年落地，6天证书的短周期特性可加速企业算法升级，避免因密钥长度不足导致的安全债务。

「梦想一旦被付诸行动，就会变得神圣，如果觉得我的文章对您有用，请帮助本站成长」

赞(0) *** 在线联系博主***

+1(323)529-5889

TeleGram联系

WhatsAPP联系