---
title:

Let's Encrypt: 6-дневни сертификати и поддръжка на IP адреси

date: 2026-01-20
tags: [#lets-encrypt, #tls, #security, #automation, #certificates ]
draft: false
---

https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability

Let’s Encrypt разширява възможностите за автоматизация, като обявява наличността на краткотрайни TLS сертификати със срок от 6 дни (160 часа) и поддръжка на сертификати за IP адреси (IPv4/IPv6). Тази важна актуализация е насочена към повишаване на сигурността в интернет чрез съкращаване на времето на живот на сертификатите и разширяване на областта на тяхното приложение.

Основни нововъведения

Краткотрайните сертификати вече са достъпни за всички, позволявайки издаването на документи със срок на валидност от едва 6 дни. За да се възползвате от тази възможност, трябва да изберете профила shortlived във вашия ACME клиент. Тази промяна не е задължителна за всички в момента, но Let’s Encrypt активно я популяризира като начин за намаляване на рисковете при изтичане на частни ключове.

Сертификатите за IP адреси станаха реалност, но с важно ограничение: те се издават само във формат на краткотрайни за 6 дни. Това е така, защото контролът върху IP адреса може да се променя по-често, отколкото върху домейна, и по-честата проверка на собствеността е критично важна за сигурността.

Защо 6 дни са по-добре от 90

Механизмите за оттегляне на сертификати не работят надеждно и често браузърите продължават да се доверяват на откраднат ключ до самия край на неговия срок. Съкращаването на живота на сертификата до 6 дни значително стеснява „прозореца на уязвимост“ за злонамерени лица, дори ако стандартната процедура за оттегляне не е проработила.

Индустрията се движи към съкращаване на сроковете и Let’s Encrypt планира постепенно да намалява стандартния срок на живот на сертификатите от 90 на 45 дни до 2028 г. Използването на профили в ACME позволява тези промени да се въвеждат постепенно, като се дава възможност за подготовка на инфраструктурата.

Практически последствия

Автоматизацията става критично важна, тъй като ръчното подновяване на сертификати на всеки няколко дни е невъзможно. Препоръчително е ACME клиентът да се стартира ежедневно и да се настрои подновяване на „6-дневните“ сертификати веднъж на 2–3 дни, за да се избегне внезапно изключване на HTTPS поради грешки при подновяването.

Новите механизми помагат за поддържане на надеждността, като например ACME Renewal Information (ARI), който позволява на сървъра на Let’s Encrypt да сигнализира на клиента за необходимостта от предсрочно подновяване. Също така се работи по DNS-PERSIST-01 за улесняване на автоматизацията чрез DNS без необходимост от смяна на записи при всяко подновяване.

Валидирането на IP адреси има своите особености, като изключва използването на DNS-01 и изисква потвърждение чрез HTTP-01 или TLS-ALPN-01 директно върху самия адрес. Това означава, че инструментите за автоматизация трябва да имат директен достъп до сървъра, работещ на този IP адрес, което променя обичайните подходи за внедряване.