En un movimiento que podría transformar la seguridad en Internet, Let’s Encrypt ha comenzado a emitir certificados TLS no solo para nombres de dominio, sino también para direcciones IP, tanto en protocolos IPv4 como IPv6. Esta decisión marca una nueva era en la certificación de la web, permitiendo a los servicios asegurar conexiones HTTPS sin la necesidad de depender del Sistema de Nombres de Dominio (DNS), tradicionalmente visto como una capa fundamental de la infraestructura de Internet.
Aunque Let’s Encrypt prevé que la mayoría de los usuarios continuará usando certificados para nombres de dominio, esta nueva opción para direcciones IP aborda casos donde un dominio no es práctico o necesario. Los beneficiarios incluyen proveedores de hosting que necesitan solucionar advertencias de seguridad al acceder a IPs directamente, servicios de infraestructura como DNS over HTTPS, y accesos remotos a dispositivos sin dominio, como los sistemas NAS o dispositivos IoT en entornos domésticos.
El cambio no está exento de condiciones. Los certificados para IP deben tener una duración breve de apenas 160 horas, algo más de seis días. Esta política es intencionada, forzando la automatización en el ciclo de vida del certificado desde el principio para minimizar riesgos y errores potenciales.
Operativamente, esto significa que los usuarios deben estar preparados para usar clientes ACME que soporten perfiles específicos y no depender del método de validación DNS-01, ya que este no puede demostrar control sobre una dirección IP. En vez de esto, Let’s Encrypt requiere validaciones HTTP-01 o TLS-ALPN-01 para esto.
El paradigma que Let’s Encrypt está introduciendo se alinea con una transición hacia una validación y renovación contínuas, alejándose de los certificados de larga validez. En su misión de aumentar la seguridad, Let’s Encrypt ha planificado reducir la típica duración de los certificados de dominio de 90 a 45 días para 2028, con el fin de fomentar renovaciones más rápidas y reducir el tiempo de exposición a posibles vulnerabilidades.
Este enfoque innovador de Let’s Encrypt podría incrementar la seguridad al reducir la ventana de riesgo asociado con la filtración de claves de cifrado o errores de emisión debido a la corta duración de los certificados. Sin embargo, también señala una clara advertencia para aquellos que no implementen soluciones de automatización: las interrupciones imprevistas serán inevitables sin un flujo automatizado de emisión, renovación y validación de certificados.
Así, mientras que la seguridad del HTTPS evoluciona, la gestión proactiva y el control verificable del endpoint, incluso cuando este es una mera dirección IP, se convierten en la nueva norma para un sector en constante búsqueda de soluciones más ágiles y seguras.
