Let's Encrypt が有効期限 6 日間の証明書を発表した

Announcing Six Day and IP Address Certificate Options in 2025 - Let's Encrypt

とにかく有効期限を短くして、自動化することにより侵害の可能性が減るという話。失効の仕組みがうまく機能していないということらしい。

たしかに有効期限は短ければ短いほど良い。この 6 日間の有効期限の証明書は凄く良い。リリースされたら是非使ってみたい。

IP アドレスのサポート

この 6 日間の有効期限の証明書では、オプションとしてドメインではなく IP アドレスを利用できるようになる。

つまり、今まで自前で用意していた IP アドレス向けの証明書ではなく、Let's Encrypt を利用して IP アドレスでの発行ができるようになる。

リバース Proxy や LB の後ろとの通信がプライベートネットワークではなく、グローバルになる場合、今まで自前で証明書を発行していた人にとっては朗報な気がする。

ただ、この IP アドレスでの発行は当たり前だが DNS-01 が利用できず、HTTP-01 か TLS-ALPN-01 になるので、めんどくさい。DNS-01 の便利さを覚えてしまった今 HTTP-01 を使う気にはなれない ... 。TLS-ALPN-01 は Nginx 単体では非対応だし。

fffonion/lua-resty-acme: Automatic Let's Encrypt certificate serving and Lua implementation of ACMEv2 procotol

OpenResty 使えば使えるかもしれない。

この 6 日間証明書は 2025 年内には使えるようになるそうなので、まったり待つことにする。