A Let's Encrypt, a autoridade de certificação (CA) mundialmente conhecida por democratizar a web segura com os seus certificados TLS/SSL gratuitos, acaba de dar um novo passo importante: a emissão de certificados digitais para endereços IP. Esta medida promete facilitar a vida a administradores de sistemas e entusiastas da tecnologia, oferecendo uma nova camada de segurança sem custos associados.
Embora não seja uma novidade absoluta no mercado — empresas como a PositiveSSL, Sectigo e GeoTrust já disponibilizam este serviço com custos anuais que podem variar entre os 35€ e os 85€ — a Let's Encrypt quebra as barreiras ao fazê-lo, como é seu apanágio, de forma totalmente gratuita.
O que é um certificado para um endereço IP e para que serve?
Normalmente, quando acedemos a um site, usamos um nome de domínio como tugatech.com.pt. O nosso navegador contacta o sistema de nomes de domínio (DNS) para traduzir esse nome para um endereço IP numérico (por exemplo, 104.18.4.22), estabelecendo depois a ligação. Tentar aceder diretamente a um site através do seu IP resulta, na maioria das vezes, num erro de segurança.
Um certificado para um endereço IP permite contornar este problema. Com ele, é possível configurar um servidor para que os utilizadores possam estabelecer uma ligação segura e encriptada diretamente através do endereço numérico, sem necessitar de um nome de domínio. Um bom exemplo desta prática é o endereço 1.1.1.1 da Cloudflare, que redireciona para o site seguro https://one.one.one.one quando inserido no navegador.
Vantagens e casos de uso específicos
Apesar de não se prever que esta funcionalidade substitua os nomes de domínio, existem vários cenários onde se revela extremamente útil. Num artigo publicado no blog oficial, Aaron Gable, engenheiro principal na Let's Encrypt, destaca algumas situações:
Páginas de aterragem padrão: Um fornecedor de alojamento pode usar um certificado IP para criar uma página de boas-vindas segura que aparece quando alguém acede diretamente ao IP da empresa, tal como a Google faz com o seu endereço 8.8.8.8.
- Projetos sem domínio: Permite a qualquer pessoa com um endereço de IP estático alojar um projeto ou site pessoal com uma ligação segura, evitando o custo de registo de um domínio (que varia entre 10€ e 50€ anuais).
Servidores DNS sobre HTTPS (DoH): Pode ser usado para reforçar a segurança de servidores que suportam este protocolo de DNS mais seguro.
Acesso a dispositivos locais: Facilita o acesso remoto seguro a dispositivos como servidores de armazenamento em rede (NAS), embora já existam tecnologias como o WireGuard ou o Tailscale para este fim.
Ligações temporárias: Ideal para proteger ligações de curta duração usadas para administração de servidores ou interconexão entre sistemas.
Porque os nomes de domínio continuam a ser a norma
No entanto, existem boas razões para os nomes de domínio continuarem a ser a escolha principal. Gable alerta que os endereços IP mudam com frequência, especialmente em ligações residenciais onde são alocados dinamicamente pelos fornecedores de internet.
Além disso, se um site estiver associado a um IP e for necessário mudar a infraestrutura do servidor, o processo torna-se mais complexo, exigindo redirecionamentos que podem impactar negativamente os tempos de carregamento e a otimização para motores de busca (SEO). Por fim, os nomes de domínio beneficiam de políticas de resolução de disputas bem estabelecidas (UDRP), algo que não existe para endereços IP, tornando os conflitos sobre a sua propriedade muito mais complicados.
A abordagem da Let's Encrypt: segurança máxima e automação
Para mitigar riscos e promover as melhores práticas de segurança, a Let's Encrypt limita a validade destes certificados de IP a apenas seis dias. Esta curta duração, que já é aplicada a outros tipos de certificados da entidade, reduz a janela de oportunidade para atacantes em caso de um certificado ser comprometido. A contrapartida é a necessidade de automatizar o processo de renovação, utilizando um cliente ACME como o popular Certbot.
De momento, os certificados para endereços IP estão disponíveis no ambiente de testes (Staging) da Let's Encrypt, com a disponibilidade geral para todos os utilizadores prevista para o final deste ano.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech