Центр сертификации Let's Encrypt начал выдавать бесплатные сертификаты для IP‑адресов, а также предоставил возможность получения TLS‑сертификатов, время жизни которых ограничено 160 часами (6 днями). 13 мая 2026 года в Let's Encrypt намерены добавить поддержку опциональной выдачи сертификатов, действующих 45 дней. В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года — до 45 дней.
Доступные с 15 января 2026 года сертификаты для IP‑адресов выдаются на 6 дней и позволяют настроить защищённый шифрованный доступ к хостам не только при использовании доменных имён, но и при обращении напрямую по IP‑адресу.
Защищённое обращение к веб‑серверу по IP‑адресу может быть полезно при взаимодействии с домашними устройствами; при начальной настройке или тестировании новых серверов; для организации шифрованных соединений между бэкендами во внутренней инфраструктуре; для создания показываемых при обращении по IP страниц‑заглушек; при развёртывании личных серверов; для организации доступа к серверам DoH (DNS over HTTPS) напрямую по IP.
Сертификаты для доменов, время действия которых ограничено 6 днями, могут применяться для повышения безопасности инфраструктуры — в случае незаметной утечки сертификата в результате взлома, короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга.
Для запроса короткоживущего сертификата для домена и сертификата для IP‑адреса требуется наличие в ACME‑клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля shortlived. Для подтверждения владения IP‑адресом можно использовать только методы http-01 и tls‑alpn-01 (метод dns-01 запрещён).
Ранее Let's Encrypt объявил о ряде важных обновлений. Они включают новую иерархию сертификатов и план по сокращению их срока действия, а также отказ от аутентификации клиента TLS.
Let's Encrypt будет постепенно сокращать его в соответствии с базовыми требованиями CA/Browser Forum. В 2026 будет этап добровольного включения, когда первые пользователи и тестировщики смогут выбрать 45-дневные сертификаты через профиль tlsserver. В 2027 году при включении по умолчанию срок действия сертификата будет сокращен до 64 дней. Наконец, в 2028 году он снизится до 45 дней. Это повысит безопасность в интернете за счёт уменьшения «окна атак», ускорения внедрения криптографических обновлений и снижения последствий неправомерной выдачи.
В августе 2025 года Let's Encrypt отключил свои OCSP‑респондеры для оконечных сертификатов. Решение избавиться от OCSP приняли ещё в 2023 году. TLS‑сертификаты, выпускаемые Let's Encrypt, больше не содержат адреса респондеров OSCP, но в них продолжают использовать списки отзыва (CRL). При этом «сверхкороткие» TLS‑сертификаты могут вообще не содержать информации о способе проверки статуса.
