Das Let's-Encrypt-Projekt hat in der vergangenen Woche das erste IP-Zertifikat ausgestellt. Es will zunächst noch Erfahrungen damit sammeln, bevor die allgemeine Verfügbarkeit später im Jahr folgt.

Das hat Let's Encrypt in einem Artikel mitgeteilt. Nur wenige Dienste haben bisher IP-Zertifikate angeboten, bei Let's Encrypt wird es sie sogar kostenlos geben. Das Projekt sieht jedoch eine Beschränkung für die IP-Zertifikate vor.

Wozu IP-Zertifikate?

Normalerweise rufen Interessierte den Domain-Namen einer Webseite für den Zugriff darauf auf – der lässt sich viel einfacher merken als eine IP-Adresse. Dennoch gibt es einige Einsatzszenarien, in denen der Zugriff auf IP-Adressen sinnvoll ist – und die technischen und Richtlinien-Standards für Zertifikate erlauben die Ausstellung für IP-Adressen. Let's Encrypt nennt ein paar Beispiele, wo sie einen sinnvollen Einsatz von IP-Zertifikaten sehen. Etwa für eine Standard-Seite von Hosting-Providern, für den Fall, dass jemand die IP-Adresse des Servers anstatt den individuellen Seitennamen aufruft; dies führt bislang zu einer Fehlermeldung im Browser.

Wenn es keinen Domain-Namen für eine Webseite gibt, sind IP-Zertifikate ebenfalls sinnvoll. Ein weiteres Szenario ist die Absicherung von DNS über HTTPS (DoH) oder anderen Infrastrukturdiensten. Auch zur Sicherung von Fernzugriffen etwa auf Geräte daheim wie NAS-Server oder IoT-Geräte lässt sich so auch ohne Domain-Namen absichern. Schließlich können sich so temporäre Verbindungen innerhalb von Cloud-Hosting-Infrastruktur absichern.

Als Einschränkung gibt Let's Encrypt vor, dass für IP-Zertifikate lediglich die neu eingeführten 6-Tage-Zertifikate dienen dürfen. Diese kurzlebigen Zertifikate sollen möglichen Missbrauch einschränken. Das bedeutet jedoch, dass die Let's-Encrypt-Client-Apps dafür vorbereitet sein müssen. Sie müssen etwa den Entwurf der ACME-Profil-Spezifikation unterstützen und so konfiguriert sein, das "shortlived"-Profil anzufordern. Zum Beweis der Kontrolle über eine IP-Adresse lässt sich natürlich nicht die DNS-Challenge-Methode nutzen, das gelingt lediglich mit den "http-01"- und "tls-alpn-01"-Methoden.

Derzeit sind die IP-Zertifikate in der "Staging"-Umgebung zum Testen verfügbar. Sofern die kurzlebigen 6-Tage-Zertifikate allgemein verfügbar werden, folgen zugleich die IP-Zertifikate. Let's Encrypt nennt keinen genauen Zeitplan, sondern verweist dafür auf "später im Jahr 2025".