neprihlásený Nedeľa, 20. júla 2025, dnes má meniny Eliáš, Iľja
Let’s Encrypt vydala prvý certifikát pre IP adresu

Značky: SSL / TLS

DSL.sk, 4.7.2025


Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, aktuálne vydala prvý certifikát ďalšieho nového typu, certifikát pre IP adresu.

Informuje o tom v tomto oznámení.

Let's Encrypt zatiaľ vydáva 90-dňové certifikáty. Na prelome rokov oznámila dve novinky, prípravu vydávania certifikátov platných iba 6 dní a tiež certifikátov vydávaných pre IP adresy a nie domény.

Prvý 6-dňový certifikát následne vydala vo februári a prvý certifikát pre IP adresu teraz. Vydávanie týchto certifikátov zatiaľ nie je dostupné užívateľom, stane sa tak neskôr tento rok.

Zmyslom 6-dňových certifikátov má byť lepšia bezpečnosť, keď v prípade kompromitácie kľúča krátka doba platnosti certifikátu obmedzí dopady. Taká situácia sa dá samozrejme riešiť aj v súčasnosti pri certifikátoch s dlhšou dobou platnosti pomocou ich predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Tento mechanizmus ale vyžaduje funkčnú kontrolu predčasne zneplatnených certifikátov na klientoch a podľa Let's Encrypt celý systém zneplatnenia nefunguje veľmi dobre. Nové 6-dňové certifikáty nebudú podľa skorších informácií ani zahŕňať OCSP a CRL adresy pre tieto mechanizmy overovania zneplatnenia certifikátov.

Certifikáty pre IP adresy bude od Let's Encrypt možné získať iba s platnosťou 6 dní, pre 90-dňové certifikáty k dispozícii takáto možnosť nebude.

      Zdieľaj na Twitteri



Najnovšie články:

Na Slovensku má vzniknúť 5-krát väčšia solárna elektráreň ako zatiaľ najväčšia
Intel s okamžitou platnosťou zrušil distribúciu Clear Linux OS
Huawei sa v Číne vrátil na prvé miesto medzi výrobcami smartfónov
Ceny flashových produktov sa v treťom štvrťroku majú zvýšiť
Slovenské elektrárne idú stavať veľké batériové úložisko, v Jaslovských Bohuniciach
Automobilka Stellantis ukončila projekt pohonu vodíkovými článkami, je neperspektívny
Linux má v USA podľa vládnych štatistík prekvapivo vysoký podiel
O2 opäť oznámilo malé zlepšenie pokrytia 5G
Odštartovala tretia séria populárneho Star Trek seriálu
Telekom vymieňa napájací adaptér k routerom, hrozia problémy


Diskusia:
                               
 
pouzitie
Od: OriginalnyKoumakSK | Pridané: 4.7.2025 11:54

Jedine zmysluplne pouzitie takychto certifikatov je zrejme pre VPN a VOD/Stream prepojov, alebo napada niekoho aj ine vyuzitie?
Odpovedať Známka: 6.0 Hodnotiť:
 
Re: pouzitie
Od: zlotec | Pridané: 4.7.2025 12:53

este mozno DNS servre?
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: pouzitie
Od: unreg.: Guest | Pridané: 4.7.2025 13:09

Mozno aj na nejake HTTPS pristupne zariadenie co bezi na nejakom (domacom?) pripojeni so statickou alebo velmi malo sa meniacou IP adresou ako NAS, kamera, kde clovek nema dovod platit domenu?
Samozrejme, bude nutne aktualizovat FW aby dane zariadenie vedelo pytat 6-novy IP certifikat od LE.
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: pouzitie
Od: OriginalnyKoumakSK | Pridané: 4.7.2025 16:41

prave toto su skor utopicke scenare - kamery sa castokrat vyrabaju s tak vykostenym FW, ze uz aj pre samotnu konfiguraciu sluzi skor appka (lebo pre malu flash, ram a slaby cpu sa vyrobcom nechce optimaluzovat a platat nejaky web), ktora len uploadne bin-kovy fajl.
NASka s tym problem nemaju, tam nie je potrebne overovat pravost, staci ak ten self-signed si importnes a mas istotu.
Ako vravim, je velmi diskutabilny zmysel takych certifikatov v praxi. Ak by to chceli pretavit do RIP/IGP/EGP/etc.. tiez to ma svoje zaludnosti.
Odpovedať Známka: 10.0 Hodnotiť:
 
ultraradikálny objasňovačizmus
Od: syntaxterrorXXX, . Y | Pridané: 4.7.2025 14:02

Ide o to, že niektoré IP adresy nemajú doménové mená, takže keď budú certifikované všetky domény aj všetky IP adresy, môže prejsť celý internet späť na http, čím dôjde k výraznému zvýšeniu bezpečnosti, nakoľko odpadnú všetky i priekazne potenciálne zraniteľnosti protokolu https.
Odpovedať Známka: 1.1 Hodnotiť:
 
rezervacia
Od: ten_krochkajuci_mopslik | Pridané: 5.7.2025 1:24

Poprosim si na IP 192.168.1.1, dakujem.
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: rezervacia
Od: ten_krochkajuci_mopslik | Pridané: 5.7.2025 1:24

a este som zabudol, aj na: 127.0.0.1
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: rezervacia
Od: OriginalnyKoumakSK | Pridané: 5.7.2025 12:11

pri Dlink aj Asus DSL routeri bol od instalacie self signed pre ich IP, ale bolo mozne importovat aj iny, cize bude sa dat aj letsencrypt. Pri Dlinku bola uz aj moznost okrem dyndns aj letsencrypt obnovovanie certov, koli funkcii rodicovskej kontroly, t.j. filtrovanie obsahu.
Odpovedať Hodnotiť:
 
Re: rezervacia
Od reg.: holden | Pridané: 7.7.2025 14:41

Let's Encrypt ti self-signed na IP neposkytne. Ak si myslel pre verejnu IP routera, tak v tom pripade urcite ano. Aj v tejto dobe to uz bude skor pre IPv6 nez IPv4, kedze uz vacsina operatorov poskytuje len neverejne IP adresy za CG-NATom.
Odpovedať Hodnotiť:
 
Re: rezervacia
Od reg.: holden | Pridané: 7.7.2025 14:42

Oprava, nemyslel som samozrejme "self-signed", ale "Let's Encrypt ti neposkytne cert na neverejnu IP".
Odpovedať Hodnotiť:

Pridať komentár