Esta é uma excelente notícia para os entusiastas de self-hosting e administradores de sistemas. A Let’s Encrypt, a autoridade de certificação gratuita e automatizada, tornou realidade a emissão de certificados TLS não apenas para nomes de domínio, mas também diretamente para endereços IP.
Até agora, a confiança pública nos certificados TLS estava quase exclusivamente ligada a nomes DNS, o que limitava a implementação de segurança em infraestruturas que operam primariamente com endereços IP em bruto. Com esta mudança, que entrou em vigor a 15 de janeiro, torna-se possível garantir ligações seguras via HTTPS sem a obrigatoriedade de registar ou gerir um domínio.
Segurança direta no endereço IP
A nova funcionalidade abrange tanto endereços IPv4 como IPv6. No entanto, existe uma regra importante a ter em conta: os certificados emitidos para endereços IP são obrigatoriamente de curta duração. Estes têm uma validade de apenas 160 horas, ou seja, pouco mais de seis dias.
A organização justifica esta decisão com a natureza transitória dos endereços IP, que tendem a mudar de proprietário ou atribuição com muito mais frequência do que os nomes de domínio. Ao exigir uma revalidação frequente, reduz-se o risco de certificados emitidos indevidamente ou desatualizados permanecerem ativos e confiáveis.
Para quem gere homelabs, sistemas de teste temporários ou dispositivos que se ligam à Internet apenas brevemente, esta é uma mudança radical. Permite proteger serviços diretamente pelo IP, eliminando a complexidade e o custo de manutenção de domínios apenas para obter a encriptação SSL necessária.
Validade reduzida para maior proteção
Juntamente com os certificados para IP, a Let’s Encrypt disponibilizou também a opção de certificados de curta duração para nomes de domínio. Esta funcionalidade é opcional (opt-in) e pode ser solicitada selecionando o perfil "shortlived" num cliente ACME compatível.
A lógica por trás desta abordagem é limitar o impacto de uma chave comprometida através do próprio design do sistema, em vez de depender de processos de revogação que podem ser lentos ou falíveis. Ao reduzir a vida útil de 90 dias para apenas 6 dias, a janela de oportunidade para um ataque com uma chave roubada diminui drasticamente.
Para obter estes novos certificados, os utilizadores devem recorrer a um cliente ACME, como o Certbot, que suporte o perfil de certificado de curta duração, especificando o endereço IP público como identificador. A validação é feita através de desafios HTTP-01 ou TLS-ALPN-01.
Paralelamente a estas novidades, a Let’s Encrypt reafirmou o seu plano de reduzir a validade padrão dos certificados de 90 para 45 dias nos próximos anos, continuando a impulsionar a indústria para modelos de confiança mais ágeis e seguros.
Nenhum comentário
Seja o primeiro!