---
title:

Let's Encrypt: 6-дневные сертификаты и поддержка IP-адресов

date: 2026-01-20
tags: [#lets-encrypt, #tls, #security, #automation, #certificates ]
draft: false
---

https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability

Let’s Encrypt расширяет возможности автоматизации, объявляя о доступности короткоживущих TLS-сертификатов сроком на 6 дней (160 часов) и поддержке сертификатов для IP-адресов (IPv4/IPv6). Это важное обновление направлено на повышение безопасности интернета через сокращение времени жизни сертификатов и расширение области их применения.

Основные нововведения

Короткоживущие сертификаты теперь доступны всем, позволяя выпускать документы со сроком действия всего 6 дней. Чтобы воспользоваться этой возможностью, необходимо выбрать профиль shortlived в вашем ACME-клиенте. Это изменение не является обязательным для всех прямо сейчас, но Let’s Encrypt активно продвигает его как способ снижения рисков при утечке приватных ключей.

Сертификаты для IP-адресов стали реальностью, но с важным ограничением: они выпускаются только в формате короткоживущих на 6 дней. Это связано с тем, что контроль над IP-адресом может меняться чаще, чем над доменом, и более частая проверка владения критически важна для безопасности.

Почему 6 дней лучше, чем 90

Механизмы отзыва сертификатов работают ненадёжно, и зачастую браузеры продолжают доверять украденному ключу до самого окончания срока его действия. Сокращение жизни сертификата до 6 дней значительно сужает «окно уязвимости» для злоумышленников, даже если стандартная процедура отзыва не сработала.

Индустрия движется к сокращению сроков, и Let’s Encrypt планирует постепенно уменьшать стандартный срок жизни сертификатов с 90 до 45 дней к 2028 году. Использование профилей в ACME позволяет вводить эти изменения постепенно, давая возможность подготовить инфраструктуру.

Практические последствия

Автоматизация становится критически важной, так как ручное обновление сертификатов каждые несколько дней невозможно. Рекомендуется запускать ACME-клиент ежедневно и настраивать обновление «6-дневных» сертификатов раз в 2–3 дня, чтобы избежать внезапного отключения HTTPS из-за ошибок продления.

Новые механизмы помогают поддерживать надежность, такие как ACME Renewal Information (ARI), который позволяет серверу Let’s Encrypt сигнализировать клиенту о необходимости досрочного обновления. Также ведется работа над DNS-PERSIST-01 для упрощения автоматизации через DNS без необходимости менять записи при каждом продлении.

Валидация IP-адресов имеет свои особенности, исключая использование DNS-01 и требуя подтверждения через HTTP-01 или TLS-ALPN-01 непосредственно на самом адресе. Это означает, что инструменты автоматизации должны иметь прямой доступ к серверу, работающему на этом IP, что меняет привычные подходы к развертыванию.