Mastodon
Zuletzt aktualisiert am
Linux News & Tutorials
Bobby 🇬🇧 Borisov

Let's Encrypt beginnt mit der Unterstützung von IP-Adress-Zertifikaten

Bobby Borisov 😛 Christian Spaan

Let's Encrypt beginnt mit der Ausstellung von IP-Adress-Zertifikaten und erweitert damit die Unterstützung über Domain-Namen hinaus, um spezielle Anwendungsfälle wie DoH und Heimgeräte abzudecken.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Seit fast einem Jahrzehnt konzentriert sich Let's Encrypt auf Domain-validierte Zertifikate, denn so finden Menschen Websites. Die Übersetzung lesbarer Namen in numerische Adressen über das DNS gibt Website-Betreibern die Flexibilität, ihre Infrastruktur zu verlagern, ohne dass bei jeder Änderung der IP-Adresse eine Aktualisierung der Zertifikate erforderlich ist.

Im Gegensatz dazu sind IP-Adressen - vor allem die dynamischen, die an viele Privatkunden oder kleine Unternehmen vergeben werden - in der Regel flüchtig, was sie zu einer wackeligen Grundlage für langlebige Anmeldedaten macht.

Doch das wird sich bald ändern. Am 1. Juli 2025 hat Let's Encrypt, eine gemeinnützige Zertifizierungsstelle, ihr allererstes IP-Adressenzertifikat ausgestellt. Wie zu erwarten, gibt es bestimmte Bedingungen für die Ausstellung dieser Art von Zertifikat. Hier sind sie.

  • Clients müssen die ACME-Profil-Spezifikation unterstützen, um sie anzufordern.
  • Sie werden nur als kurzlebige Zertifikate ausgestellt (gültig für ~6 Tage), wodurch die mit der IP-Neuzuweisung verbundenen Risiken verringert werden.
  • Es werden nur HTTP-01- und TLS-ALPN-01-Validierungsmethoden unterstützt (keine DNS-Challenges).

Die Funktion ist derzeit in der Staging-Umgebung von Let's Encrypt verfügbar. Eine vollständige Einführung in die Produktion wird für später im Jahr 2025 erwartet, zusammen mit einer breiteren, kurzzeitigen Verfügbarkeit von Zertifikaten.

Wer profitiert hiervon? Auch wenn Let's Encrypt betont, dass die meisten Website-Betreiber mit gewöhnlichen Domain-Zertifikaten gut zurechtkommen, gibt es immer noch Szenarien, in denen ein numerischer Identifikator die einzige praktische Wahl ist:

  • Infrastrukturdienste wie DNS-over-HTTPS (DoH) - bei denen Kunden aus Gründen der Leistung oder der Umgehung der Zensur eine buchstäbliche IP-Adresse angeben können.
  • IoT- und Heimlabor-Geräte - denken Sie zum Beispiel an netzwerkgebundene Speicherboxen, die hinter statischen WAN-Adressen leben.
  • Kurzlebige Cloud-Workloads - kurzlebige Back-End-Server, die mit öffentlichen IPs schneller als DNS-Einträge propagiert werden können.

Weitere Informationen finden Sie in der offiziellen Ankündigung. Early Adopters sind aufgerufen, die Funktion zu testen und Feedback zu geben.

Spendieren Sie Bobby einen ☕ Ko-fi

Ein Service von s3n🧩net

Comments

Featured

Follow us

Authors

Tags