Foto: Freepik

Certifikační autorita Let’s Encrypt, která se dlouhodobě snaží demokratizovat přístup k HTTPS a zajistit bezpečnější internet, letos přichází s významnými novinkami. V roce 2025 plánuje zavést krátkodobé certifikáty s platností pouhých šesti dnů a také umožnit zabezpečení služeb přístupných přes IP adresy. Tyto změny mají zásadně zlepšit flexibilitu a bezpečnost internetové infrastruktury, a proto je důležité pochopit, co přesně přinesou.

Jedním z hlavních důvodů pro zavedení šestidenních certifikátů je zlepšení reakce na bezpečnostní rizika. Tradiční certifikáty mají platnost až 90 dnů, což v případě kompromitace soukromého klíče představuje poměrně dlouhé období, během kterého může být bezpečnost narušena. Ačkoli existují mechanismy pro jejich okamžitou revokaci, jako je OCSP (Online Certificate Status Protocol), praxe ukazuje, že tyto nástroje nejsou vždy spolehlivé. Zkrácením platnosti certifikátů se významně zkracuje tzv. „okno zranitelnosti“ – období, během kterého by mohl být kompromitovaný certifikát zneužit. Krátkodobé certifikáty tedy minimalizují riziko a zároveň snižují závislost na revokačních protokolech.

HTTPS
https

Foto: Freepik

Zavedení šestidenních certifikátů však není pouze otázkou bezpečnosti. Let’s Encrypt také klade důraz na automatizaci procesu obnovy certifikátů, což je klíčový prvek při jejich správě. Automatizace snižuje riziko chyb způsobených lidským faktorem a zároveň odstraňuje nutnost ručního zásahu. Zkrácená platnost certifikátů tak fakticky motivuje správce k modernizaci jejich systémů a přechodu na spolehlivé automatizační nástroje.

Další významnou novinkou je podpora IP adres v certifikátech. Dosud bylo možné zabezpečit připojení pomocí certifikátů Let’s Encrypt pouze prostřednictvím doménových jmen. Tento přístup ale vylučoval některé specifické případy, kdy je potřeba zabezpečit služby dostupné pouze prostřednictvím IP adresy. Podpora IP adres otevírá nové možnosti, například při implementaci protokolu DDR (Discovery of Designated Resolvers) podle RFC 9462, který umožňuje klientům nalézt šifrovaný kanál pro DNS dotazy. Díky tomu mohou být tyto služby bezpečněji a flexibilněji integrovány do moderní internetové infrastruktury.

Samotný proces ověřování IP adres bude fungovat podobně jako u doménových jmen, ačkoli s určitými omezeními. Ověření bude probíhat prostřednictvím výzev http-01 a tls-alpn-01, avšak bez možnosti využití dns-01, protože DNS není pro validaci IP adres relevantní. Rovněž nebude možné ověřit záznamy typu CAA (Certification Authority Authorization), což je běžná praxe u doménových jmen. Tato omezení jsou však vynahrazena jednoduchostí a efektivitou celého procesu.

Zavádění těchto novinek bude probíhat postupně. Již v únoru 2025 plánuje Let’s Encrypt vydat první testovací krátkodobé certifikáty pro své interní potřeby. V dubnu se dočká úzká skupina testerů, a pokud vše půjde podle plánu, ke konci roku budou krátkodobé certifikáty i podpora IP adres dostupné široké veřejnosti. Tato postupná implementace má zajistit, že všechny procesy budou dostatečně robustní a připravené na masové nasazení.

Pro správce webových serverů a administrátory je tato změna nejen příležitostí, ale i výzvou. Přechod na krátkodobé certifikáty bude vyžadovat modernizaci systémů a zavedení spolehlivé automatizace pro obnovu certifikátů. Ti, kdo již nyní využívají ACME klienty pro automatizaci, budou mít přechod jednodušší. Let’s Encrypt navíc slibuje, že podrobnosti o implementaci jednotlivých funkcí budou dostupné včas, aby byla zajištěna hladká adopce.

Změny, které Let’s Encrypt přináší, mají potenciál zásadně ovlivnit způsob, jakým přistupujeme k bezpečnosti na internetu. Šestidenní certifikáty i podpora IP adres představují krok směrem k flexibilnějšímu, automatizovanému a bezpečnějšímu webu. Ačkoliv tyto inovace vyžadují přípravu a změnu přístupu, výhody, které nabízejí, převažují nad počátečními obtížemi. Pro všechny, kdo chtějí držet krok s moderními standardy internetové bezpečnosti, je tento vývoj jasným signálem, že budoucnost patří kratším cyklům, větší automatizaci a širším možnostem zabezpečení.

Zdroj: Letsencrypt.com (odkaz)