Uma grande novidade para entusiastas de self-hosting e administradores de sistemas: o Let’s Encrypt tornou disponível para o público o suporte a certificados TLS para endereços IP. A partir de agora, é possível estabelecer conexões HTTPS seguras diretamente para um endereço IPv4 ou IPv6, sem a necessidade de um nome de domínio registrado.
Esta é uma mudança importante, pois até recentemente os certificados TLS de confiança pública estavam quase exclusivamente vinculados a nomes de DNS. Essa limitação dificultava a implantação segura de serviços que operam diretamente em endereços IP brutos, como servidores em homelabs, sistemas de teste temporários ou dispositivos IoT com exposição limitada à internet.
Efêmero por design
Há, porém, uma característica fundamental e intencional nesses novos certificados: eles são obrigatoriamente de vida curta. Cada certificado emitido para um IP terá validade de apenas 160 horas (cerca de 6 dias). O Let’s Encrypt justifica essa escolha pela natureza transitória dos endereços IP, que podem mudar de proprietário ou atribuição com mais frequência do que os domínios. Além disso, validações mais frequentes reduzem o risco de certificados emitidos incorretamente ou obsoletos permanecerem sendo confiáveis na rede.
Em paralelo, a organização também disponibilizou os certificados de vida curta para nomes de domínio. Eles são opcionais e podem ser solicitados selecionando o perfil shortlived em um cliente ACME. A redução do tempo de validade padrão de 90 para 6 dias limita, por design, o impacto de uma chave privada comprometida, diminuindo a dependência dos mecanismos tradicionais de revogação, historicamente problemáticos.
Para obter um certificado de IP de vida curta, é necessário usar um cliente ACME compatível e especificar o endereço IP público como identificador, utilizando o HTTP-01 ou TLS-ALPN-01 para validação.
O Let’s Encrypt também reafirmou seu plano anterior de reduzir gradualmente a validade dos certificados padrão de 90 para 45 dias nos próximos anos, como parte de sua estratégia de longo prazo em direção a modelos de confiança com vida útil mais curta e renovação altamente automatizada.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!