---
title:

Let's Encrypt: 6-денні сертифікати та підтримка IP-адрес

date: 2026-01-20
tags: [#lets-encrypt, #tls, #security, #automation, #certificates ]
draft: false
---

https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability

Let’s Encrypt розширює можливості автоматизації, оголошуючи про доступність короткоживучих TLS-сертифікатів терміном на 6 днів (160 годин) та підтримку сертифікатів для IP-адрес (IPv4/IPv6). Це важливе оновлення спрямоване на підвищення безпеки інтернету через скорочення часу життя сертифікатів та розширення області їх застосування.

Основні нововведення

Короткоживучі сертифікати тепер доступні всім, дозволяючи випускати документи зі строком дії всього 6 днів. Щоб скористатися цією можливістю, необхідно вибрати профіль shortlived у вашому ACME-клієнті. Ця зміна не є обов’язковою для всіх прямо зараз, але Let’s Encrypt активно просуває її як спосіб зниження ризиків при витоку приватних ключів.

Сертифікати для IP-адрес стали реальністю, але з важливим обмеженням: вони випускаються лише у форматі короткоживучих на 6 днів. Це пов’язано з тим, що контроль над IP-адресою може змінюватися частіше, ніж над доменом, і частіша перевірка володіння є критично важливою для безпеки.

Чому 6 днів краще, ніж 90

Механізми відкликання сертифікатів працюють ненадійно, і часто браузери продовжують довіряти вкраденому ключу до самого закінчення терміну його дії. Скорочення життя сертифіката до 6 днів значно звужує «вікно уразливості» для зловмисників, навіть якщо стандартна процедура відкликання не спрацювала.

Індустрія рухається до скорочення термінів, і Let’s Encrypt планує поступово зменшувати стандартний термін життя сертифікатів з 90 до 45 днів до 2028 року. Використання профілів в ACME дозволяє вводити ці зміни поступово, даючи можливість підготувати інфраструктуру.

Практичні наслідки

Автоматизація стає критично важливою, оскільки ручне оновлення сертифікатів кожні кілька днів неможливе. Рекомендується запускати ACME-клієнт щодня та налаштовувати оновлення «6-денних» сертифікатів раз на 2–3 дні, щоб уникнути раптового відключення HTTPS через помилки продовження.

Нові механізми допомагають підтримувати надійність, такі як ACME Renewal Information (ARI), який дозволяє серверу Let’s Encrypt сигналізувати клієнту про необхідність дострокового оновлення. Також ведеться робота над DNS-PERSIST-01 для спрощення автоматизації через DNS без необхідності змінювати записи при кожному продовженні.

Валідація IP-адрес має свої особливості, виключаючи використання DNS-01 і вимагаючи підтвердження через HTTP-01 або TLS-ALPN-01 безпосередньо на самій адресі. Це означає, що інструменти автоматизації повинні мати прямий доступ до сервера, що працює на цьому IP, що змінює звичні підходи до розгортання.