The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Let's Encrypt начнёт выдавать TLS-сертификаты для IP-адресов

06.07.2025 10:22

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, анонсировал начало предоставления бесплатных сертификатов для IP-адресов. В отличие от сертификатов для доменов срок действия сертификатов для IP-адресов составит не 30, а 6 дней. Реализуемая возможность позволит настроить защищённый шифрованный доступ к хостам не только при использовании доменных имён, но и при обращении напрямую по IP-адресу.

Из областей, в которых может оказаться востребовано защищённое обращение к web-серверу напрямую по IP-адресу, упоминается взаимодействие с домашними устройствами, такими как серверы хранения; начальная настройка или тестирование новых серверов; организация шифрованных соединений между бэкендами во внутренней инфраструктуре; создание хостинг-провайдерами информационных страниц-заглушек, показываемых по умолчанию при обращении по IP; организация входа на привязанные к IP-адресам сервисы, такие как 1.1.1.1 и 8.8.8.8; развёртывание личных серверов, на которые не хочется тратить деньги на регистрацию домена; организация доступа к серверам DoH (DNS over HTTPS) напрямую по IP.

В настоящее время сертификаты для IP генерируются в тестовом режиме и будут доступны для широкого использования позднее в этом году, одновременно с возможностью генерации для доменов короткоживущих сертификатов, действующих 6 дней. Для запроса короткоживущего сертификата и сертификата для IP требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля "shortlived". Для подтверждения владения IP-адресом можно использовать только методы http-01 и tls-alpn-01 (метод dns-01 запрещён).

  1. Главная ссылка к новости (https://letsencrypt.org/2025/0...)
  2. OpenNews: Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов
  3. OpenNews: NS-сервера домена .top прекратили обслуживание запросов валидации Let's Encrypt
  4. OpenNews: Let's Encrypt перешёл на NTP-сервер ntpd-rs, написанный на языке Rust
  5. OpenNews: Let's Encrypt празднует 10 лет
  6. OpenNews: Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63531-letsencrypt
Ключевые слова: letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, BlackRot (ok), 11:07, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    В роутеры это тоже занусунут или нужен белый айпи?
     
     
  • 2.8, Аноним (8), 12:00, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +7 +/
    А что, на серые IP кто-то выдаст сертификат?
     
     
  • 3.63, BlackRot (ok), 19:11, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    я сначала спросил) а потом начал думать))
     
  • 2.18, gnugpl (?), 13:35, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    На сером ip достаточно самописного серта отпечаток которого добавлен в исключения там где нужно. Валидный сертификат необходим для публичного доступа, когда отпечаток не может быть проверен руками+глазами.
     
     
  • 3.54, Аноним (-), 18:09, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > На сером ip достаточно самописного серта отпечаток которого добавлен в исключения

    Так и представляю себе. Купил Вася роутер - а в мануале (бумажном конечно, ибо морду роутера он не увидит) - рассказ как добавить сертификат в исключения его браузера.

     
  • 2.23, Эксконтрибутор FreeBSD (?), 13:54, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    А что мешает использовать dns challenge и держать на роутере валидный сертификат по доменному имени?
     
     
  • 3.64, wifi (?), 19:13, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    То что в этом нет никакой необходимости.
     
  • 2.55, Аноним (55), 18:11, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Как узнать цвет IP-адреса?
     
     
  • 3.65, wifi (?), 19:14, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот так https://2ip.io/ip2color/
     
     
  • 4.69, Ананимаз (?), 20:46, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    лол, у меня красненький

    ну а если серьезно, то с серыми этот сайт вообще никак не поможет ибо будет отображаться ойпи внешнего шлюза провайдера/шайтан коробки, раздающей тырьнеты, а не серо-буро-малиновый ойпи клиента.

     
  • 4.74, Аноним (55), 21:15, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Показывает коричневый. Написал провайдеру письмо с требованием перекрасить.
     
  • 3.67, Аноним (67), 19:58, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    https://qna.habr.com/q/1303168
     
     
  • 4.73, Аноним (55), 21:15, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А вкус и запах у разноцветных IP бывает?
     

  • 1.3, 12yoexpert (ok), 11:11, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    на localhost выдадут?
     
     
  • 2.5, Аноним (5), 11:18, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –6 +/
    localhost у всех разный, в том числе у серверов Let's Encrypt, так что нет.
     
     
  • 3.46, 12yoexpert (ok), 16:13, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    не понял, как вы пришли от "в т.ч. у let's encrypt" к выводу "нет"?
     
  • 2.7, Аноним (67), 11:28, 06/07/2025 Скрыто ботом-модератором     [к модератору]
    		• –4 +/
     
  • 2.56, Аноним (55), 18:12, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Нет конечно. TLS на локалхосте бессмысленен.
     
  • 2.75, Алкоголизм (?), 21:17, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    На локалхост были сертификаты от проекта local-ip co, но они там перманентно просроченные (UPD: ан нет, сейчас он у них действующий на год). Работает так, что у них есть домен вида my local-ip co с wildcard-сертификатом. И все поддомены вида 127-0-0-1 my local-ip co резолвятся как адреса локальных сетей. И они этот сертификат + ключ выкладывают на странице своего проекта для свободного скачивания.
     

  • 1.10, Admino (ok), 12:15, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    > Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом

    Ой, а как стать частью этого сообщества? Корочки АНБ нужны?

     
     
  • 2.12, Аноним (12), 12:47, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –4 +/
    >> Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом
    > Ой, а как стать частью этого сообщества? Корочки АНБ нужны?

    Т.е. Google и Amazon, в качестве главных спонсоров, любителей теорий заговоров совершенно не смущают?


     
     
  • 3.13, безразницы (?), 13:03, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    > Google и Amazon

    у этих не только корочки но и принтер для корочек найдется

     
  • 3.39, Аноним (39), 15:08, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Министерство правды тебе уже прислало что является теорией заговора?
     
  • 3.59, Admino (ok), 18:19, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Ну то есть никак или что?
     
  • 2.42, Аноним (42), 15:39, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Если ты не чинуша, то золотое правило что заграничные спецслужбы безопаснее родных, где бы это заграничье не находилось и какая-то бы спецслужба не была родной.
     
     
  • 3.60, Admino (ok), 18:20, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Если ты не чинуша, то золотое правило что заграничные спецслужбы безопаснее родных,
    > где бы это заграничье не находилось и какая-то бы спецслужба не
    > была родной.

    Ты считаешь, что это ответ на вопрос или что?

     
  • 3.82, YetAnotherOnanym (ok), 22:49, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Дооооо, а потом приверженцы этого золотого правила мотают двухсотлетние сроки в коррекционном центре в земле эльфов, вместо двушечки общего режима в Мордоре.
     
  • 2.62, Аноним (55), 19:02, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Как стать известно, и нет, корочки не нужны. Процесс вообще весьма простой. Одна загвоздка, анонимов не берут.
     
  • 2.70, Bob (??), 20:46, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Перестав жрать пропаганду и начав св-ё участие в оном)

    Корочки нужны местным сертификатам. Ага)

     

  • 1.14, Аноним (14), 13:09, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Расширяют присутствие в нише, скоро начнут бинарники подписывать. Затем на этой платформе можно и маркетплейс организовать.
     
     
  • 2.16, Аноним (16), 13:21, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    И останутся в своей нише ровно одни. Уже многие начинают проклевывать какие ириски они несут в массы.
     
     
  • 3.57, Аноним (55), 18:13, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    И какие же? С примерами и моделью угроз пожалуйста.
     
     
  • 4.61, Admino (ok), 18:23, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > И какие же? С примерами и моделью угроз пожалуйста.

    Пример с jabber.ru необучаемых ничему не научил. "Нам пришёл запрос на перевыпуск сертификата, мы сделали https проверку, мамой клянус!"

     
     
  • 5.77, Эксконтрибутор FreeBSD (?), 21:20, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    jabber.ru в своем вранье запутались тогда и в конце концов признались, что запрос на выпуск сертификата был от них
     

  • 1.21, Анон1110м (?), 13:40, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Это ни к чему хорошему не приведёт так же как и в случае с повальным переходом с HTTP на HTTPS.
     
     
  • 2.29, Аноним (67), 14:11, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >на HTTPS

    https://opennet.ru/53520-https

     
  • 2.45, Аноним (-), 16:00, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Согласен, несущий информацию протокол не подверженный mitm вполне разработать можно. Вернее даже стек протоколов. Причем можно это делать не как в прошлом веке, а как следует - открытым для расширения и закрытым для модификации, т.е. исправляя ошибки, которых уйма уже накопилось. Да не только https, но и все что используется хотя-бы тем же браузером (и ip и dns). Не стоит отдавать интернет под управление американцам - мы же не живём в Америке и гражданство СГА не имеем
     

  • 1.22, Анон1110м (?), 13:46, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    И кстати, в браузерах пишут что HTTPS это бесопасно, но на самом деле им стоит писать что соединение шифровано потому что безопасно оно или нет это вопрос.
     
     
  • 2.24, Эксконтрибутор FreeBSD (?), 13:55, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    И именно так и пишут в браузерах «Защищенное соединение»
    А ты опять выдумал что-то и с этим воюешь
     
     
  • 3.35, Анон1110м (?), 14:48, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Opera пишет Connect is secure. Ещё, когда грузишь страничку по HTTP, она вываливает свою страничку с предупреждением о том как же это страшно и мальенькой серой ссылкой на которую нужно нажать чтобы всё таки загрузить страничку.
     

  • 1.25, Аноним (25), 13:56, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Прочитал заголовок в ленте и посмотрел на календарь, не первое ли апреля сегодня. Прочитал текст новости и ещё раз проверил календарь.
     
  • 1.26, nebularia (ok), 14:03, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Из областей, в которых может оказаться востребовано защищённое обращение к web-серверу напрямую по IP-адресу, упоминается взаимодействие с домашними устройствами, такими как серверы хранения; начальная настройка или тестирование новых серверов; организация шифрованных соединений между бэкендами во внутренней инфраструктуре;

    И вот ради у этого всего есть белый IP, а нам обязательно лезть на внешний сервер раз в неделю за верификацией?

     
  • 1.37, Аноним (67), 15:04, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    До 1.1.1.1 скоро не дойти:
    https://blog.cloudflare.com/russian-internet-users-are-unable-to-access-the-op
     
  • 1.38, Аноним (38), 15:06, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Чем ip отличается от домена, что нужно делать 6 дней?
     
     
  • 2.40, Аноним (39), 15:08, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Домен могут украсть, а айпи тоже могут украсть. Но не два сразу.
     
  • 2.47, Аноним (47), 16:14, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    домен твой минимум на год. айпи выдается при создании виртуалки, и при ее удалении может перестать быть твоим, и перейти в другие руки хоть через 5 минут
     
     
  • 3.52, Аноним (52), 18:01, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Зачем тогда выдавать на 6 дней? Выдали бы на 10 минут, и сиди, обновляй.
     
     
  • 4.58, Аноним (55), 18:16, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Затем, что их инфраструктура быстрее не может. Но если ты готов проспонсировать — почему нет? Пиши в LE своё предложение, я уверен им будет интересно.
     

  • 1.41, Аноним (41), 15:19, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    В чем отличие от самоподписанного сертификата?
     
  • 1.53, Аноним (-), 18:07, 06/07/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –1 +/
     
  • 1.66, BrainFucker (ok), 19:53, 06/07/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А чего нибудь децентрализованного никто не придумал ещё? Да и систему доменных имён бы тоже.

    Хотя, с текущими тенденциями по переносу всего в приложения на каждый чих, это всё может оказаться ненужным.

     
     
  • 2.76, Эксконтрибутор FreeBSD (?), 21:19, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Децентрализованных систем доменных имен было уже штук пять
    Не нужны они никому, чувак, просто не нужны
     
  • 2.78, Аноним (55), 21:21, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > А чего нибудь децентрализованного никто не придумал ещё? Да и систему доменных имён бы тоже.

    Придумали. Ты пользуешься и тем, и другим прямо сейчас. В мире несколько тысяч коммерческих УЦ, вообще никак не связанных друг с другом. Та же самая история с DNS — несколько тысяч коммерческих предложений в мире. А некоммерческих и вовсе без счёта, каждый вася может себе свой УЦ и DNS запилить. Не понимаю что тебя не устраивает.

     
     
  • 3.79, BrainFucker (ok), 21:48, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну, это всё равно что утверждать что все социальные сети децентрализованные, они же независимы.
     
  • 3.80, Аноним (80), 22:02, 06/07/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > каждый вася может себе свой УЦ и DNS запилить

    И как каждый вася занесёт свой RC во все браузеры?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру