Certifikační autorita Let's Encrypt chce letos začít nabízet volitelně krátkodobé certifikáty s šestidenní platností. Už kvůli tomu testuje rozšíření protokolu ACME, díky kterému bude možné volit různé varianty certifikátů pomocí takzvaných profilů. Během února by měl být vystaven první krátkodobý certifikát pro interní potřeby autority, zhruba v dubnu pak budou tyto certifikáty nabídnuty úzké skupině testerů a ke konci roku se pak novinka zpřístupní všem.
Nyní bylo navíc oznámeno, že šestidenní certifikáty budou moci obsahovat kromě doménových jmen také IP adresy v položce SAN (Subject Alternative Names). To umožní zabezpečené připojení TLS s veřejně důvěryhodnými certifikáty ke službám dostupným prostřednictvím IP adresy bez nutnosti zadávat název domény.
Ověřování pro IP adresy bude fungovat stejně, jako nyní funguje ověřování pro doménová jména, ačkoli ověřování bude omezeno na typy výzev http-01 a tls-alpn-01. Typ výzvy dns-01 nebude k dispozici, protože DNS se na ověřování IP adres nepodílí. Zároveň také neexistuje mechanismus pro kontrolu záznamů typu CAA (Certification Authority Authorization) pro IP adresy.
Certifikáty na IP adresu jsou například potřeba při nasazování protokolu DDR (Discovery of Designated Resolvers) dle RFC 9462, který umožňuje klientům objevit šifrovaný komunikační kanál pro vyřizování DNS dotazů. Klient při tom ale ověřuje, zda certifikát pro TLS obsahuje IP adresu resolveru inzerovanou dříve pomocí RA nebo DHCP.
ČLÁNKY DO MAILU