Проект Let’s Encrypt, крупнейший в мире некоммерческий центр сертификации, сделал важный шаг в сторону расширения доступности сетевой безопасности. С 2025 года организация начала выдавать бесплатные TLS-сертификаты не только для доменов, но и для IP-адресов — впервые в своей истории.
Эта возможность открывает новую эру защиты трафика в тех случаях, где раньше HTTPS был невозможен? например при доступе к серверам, оборудованию, облачным платформам и локальным сетевым интерфейсам по IP напрямую, без доменных имён.
С момента запуска в 2015 году Let’s Encrypt предоставила бесплатные сертификаты более чем 600 миллионам сайтов. Но до недавнего времени организация не поддерживала шифрование по IP-адресу, функциональность, которая теперь становится доступной:
- С января 2025 года началась выдача первых IP-сертификатов;
- Функция доступна через ACME-протокол (с минимальными изменениями в конфигурации);
- Пока сертификаты можно протестировать в Staging-среде, но полный запуск ожидается к концу 2025 года.
Выдача сертификатов по IP-адресу может быть критически важна для инфраструктуры, где нет или не требуется DNS:
- Защита страниц по умолчанию на хостингах и CDN;
- Безопасный доступ к локальным устройствам и IoT-оборудованию;
- Шифрование в рамках облачных сред или временных инстансов;
- Работа сервисов на уровне инфраструктуры, включая DNS over HTTPS (DoH);
- Поддержка внутренних корпоративных сервисов и VPN-платформ.
«Технических преград для выдачи сертификатов по IP не было. Но до нас почти никто это не делал», — заявили представители Let’s Encrypt.
Современные решения безопасности всё чаще смещаются с уровня домена на уровень IP и протокола. Let’s Encrypt реагирует на эти вызовы, раздвигая границы традиционного TLS, ранее ориентированного исключительно на доменные имена.
С учётом угроз IP spoofing и перехвата трафика, возможность получить сертификат на IP это новый уровень прозрачности и безопасности во многих нишевых, но важных сценариях.
