Let’s Encrypt ora rilascia certificati anche per indirizzi IP: ecco cosa significa davvero

Raoul Scarazzini

Let’s Encrypt è il progetto no profit che ha letteralmente cambiato il volto del web. Dalla sua nascita nel 2015, l’obiettivo è sempre stato chiaro: rendere la cifratura delle comunicazioni via HTTPS accessibile a tutti, gratuitamente. Una rivoluzione talmente potente che già nel 2020, Let’s Encrypt aveva raggiunto un miliardo di certificati rilasciati. Let’s Encrypt, non a caso, è anche il servizio che usiamo per i certificati di https://www.miamammausalinux.org.

Eppure, nonostante questo traguardo impressionante, mancava ancora qualcosa. Fino ad oggi infatti, i certificati Let’s Encrypt potevano essere emessi solo per nomi a dominio. Questo limite ora cade: a partire dal 1° luglio 2025, è stato ufficialmente rilasciato il primo certificato associato a un indirizzo IP.

Ma i certificati non sono mica sempre stati legati ai nomi a dominio?

In effetti, l’utilizzo dei certificati digitali si basa su un principio fondamentale: la fiducia. Quando si visita un sito in HTTPS, il browser verifica che il certificato presentato sia in corso di validità, emesso da un’autorità attendibile (come Let’s Encrypt) e valido per il nome che abbiamo digitato.

Il Common Name o Subject Alternative Name del certificato, infatti, deve corrispondere al nome a dominio del sito.

Questo meccanismo è essenziale perché i browser, così come gli utenti, non ragionano in termini di IP, ma di nomi. Scriviamo miamammausalinux.org, non 138.201.248.253. Inoltre, i nomi a dominio garantiscono flessibilità: è possibile spostare un servizio da un server a un altro senza dover rifare il certificato, semplicemente aggiornando il record DNS.

È facile capire, quindi, perché i certificati per IP siano stati finora così rari. In teoria, gli standard tecnici li prevedono da tempo, ma nella pratica pochissime Certificate Authority li hanno resi disponibili. I motivi sono diversi. Primo, l’instabilità: molti IP, soprattutto in ambito domestico o cloud, sono dinamici e possono cambiare in qualsiasi momento. Secondo, l’ambiguità: a chi appartiene veramente un IP pubblico? Senza un sistema analogo al WHOIS dei domini, è difficile attestarlo in modo affidabile. Terzo, la scarsa utilità percepita: nella maggior parte dei casi, gli utenti non digitano IP nei browser. E spesso, su un singolo IP, vivono più servizi (grazie al virtual hosting), rendendo il certificato IP poco utile.

E allora perché Let’s Encrypt ha deciso di supportare i certificati IP? Perché ci sono casi concreti in cui avere un certificato per IP ha senso, eccome. E l’annuncio del post citato in apertura ne elenca alcuni:

  • I provider di hosting possono usarli per evitare errori nel browser quando si accede direttamente all’IP di un server.
  • Possono servire in contesti tecnici o di test dove non è pratico o possibile avere un dominio.
  • Sono utili per proteggere DNS over HTTPS (DoH) o altri servizi di infrastruttura, dove la cifratura è fondamentale.
  • Possono servire per accedere in modo sicuro a dispositivi IoT o server casalinghi, senza dover configurare un DNS dinamico.
  • Infine, sono perfetti per connessioni temporanee tra servizi cloud, dove l’IP è l’unico identificatore stabile nel breve periodo.

Va detto che Let’s Encrypt ha deciso di introdurre questa possibilità con alcune regole ben precise. I certificati per IP saranno sempre a vita breve (short-lived), validi circa sei giorni. Sarà necessario richiedere esplicitamente il profilo shortlived tramite ACME, attraverso il consueto tool certbot.

Per ora il supporto è disponibile solo nell’ambiente Staging, ma la disponibilità generale è attesa entro fine 2025. È un passo importante, che estende ulteriormente le possibilità di cifratura e protezione delle comunicazioni su Internet.

Questa mossa di Let’s Encrypt apre scenari nuovi, oltre il classico binomio HTTPS + dominio. Pur restando un’opzione di nicchia, i certificati associati agli indirizzi IP offrono una soluzione concreta per una serie di casi d’uso reali finora trascurati e, manco a dirlo, a costo zero.

Ancora una volta, Let’s Encrypt dimostra che la sicurezza può (e deve) essere gratuita, automatizzata, e per tutti. Anche per chi non ha un nome… ma solo un IP.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , ,

5 risposte a “Let’s Encrypt ora rilascia certificati anche per indirizzi IP: ecco cosa significa davvero”

  1. Avatar Amedeo
    Amedeo

    Interessante!
    C'è una parte che non m è chiara (non sono un esperto) :

    Inoltre, i nomi a dominio garantiscono flessibilità: è possibile spostare un servizio da un server a un altro senza dover rifare il certificato, semplicemente aggiornando il record DNS.

    correggetemi se sbaglio : questo vale se l'SSL offloading viene effettuato da un dispositivo di rete a monte dei server, giusto? Nei casi più comuni in cui Let’s Encrypt è installato sul server per effettuare un'operazione del genere bisogna copiare i certificati manualmente da un server all'altro, corretto?

  2. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Non mi è chiaro il dubbio. Quello che intendo nella frase è che se tu vuoi cambiare l'indirizzo IP associato a un nome, lo fai a livello di configurazione DNS, senza toccare minimamente il certificato che rimane identico, proprio perché ha il Common Name associato al nome.

  3. Avatar Amedeo
    Amedeo

    Mi riferivo alla gestione vera e propria del certificato. Per quello che ne so io, a meno che non ci sia un dispositivo (es. un firewall) che si occupa dell'offloading, il certificato è fisicamente servito dal server.
    Se cambi l'ip associato al domino tramite DNS punti ad un server DIVERSO (nei tempi previsti dal TTL impostato sul DNS) il certificato resta valido ma è sul server precedente quindi inutile.
    Dico bene? In sostanza non colgo l'utilità della tua affermazione ( probabilmente per mia inesperienza…)

  4. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Se sul server diverso c'è lo stesso certificato, questo sarà valido, poiché associato al nome.

  5. Avatar Amedeo
    Amedeo

    ok, chiaro!
    mi confermi che il certificato va comunque spostato "a mano" copiandolo sul nuovo server, non esistono altre soluzioni (se non esternalizzare l'offloading).
    Mi sono capitate migrazioni di server in passato e ci ho perso giorni, mi chiedevo se esistessero alternative..

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (12) Notizie (3206) Saturday's Talks (54)

Tag cloud

ai (73) AlmaLinux (34) Android (34) Bug (81) Canonical (85) CentOS (48) Cloud (63) container (52) Controversia (43) Debian (102) desktop (34) docker (65) Fedora (63) Firefox (37) GitHub (76) Gnome (35) Google (88) IBM (56) Intel (55) KDE (42) Kernel (259) Kubernetes (99) Linux (757) LTS (36) Malware (66) Microsoft (193) MicrosoftLovesLinux (37) Mozilla (37) open-source (412) Openstack (58) Oracle (35) Patch (36) Red Hat (175) Release (64) RHEL (44) Rust (39) SaturdaysTalks (52) Sicurezza (113) Software (41) SUSE (41) systemd (78) Torvalds (94) Ubuntu (179) Vulnerabilità (68) Windows (85)