Let’s Encrypt ha ampliado sus servicios al ofrecer certificados de dirección IP y certificados de corta duración, disponibles para el público en general. Esta nueva funcionalidad, anunciada a principios de este año, se enmarca dentro de los esfuerzos por mejorar la seguridad en la web, facilitando la obtención de certificados a los usuarios que necesiten proteger sus direcciones IP específicas.
El equipo de Certbot, una herramienta desarrollada por la Electronic Frontier Foundation, ha implementado dos mejoras clave para respaldar estas nuevas características. La primera es la opción “–preferred-profile”, lanzada en la versión 4.0 de Certbot, que permite a los usuarios elegir entre diferentes perfiles de certificados. La segunda mejora, introducida en Certbot 5.3, es la opción “–ip-address”, que habilita la obtención de certificados específicos para direcciones IP.
Los usuarios interesados en obtener un certificado de dirección IP deben asegurarse de tener instalada la versión 5.4 o superior de Certbot, la cual ofrece soporte para esta nueva funcionalidad. Para iniciar el proceso, los usuarios deben ejecutar una serie de comandos que permiten solicitar un certificado no confiable en el servidor de pruebas de Let’s Encrypt. Una vez que estén satisfechos con los resultados, podrán generar un certificado de confianza públicamente.
Es importante destacar que estos certificados, bajo el perfil “shortlived”, solo tienen una validez de seis días, un requisito establecido por Let’s Encrypt para los certificados de dirección IP. Actualmente, Certbot solo permite la obtención de estos certificados, pero no su instalación automática en servidores web. Se espera que las futuras actualizaciones aborden esta limitación.
Además, existen dos métodos alternativos disponibles para quienes deseen administrar sus certificados: los plugins “–manual” y “–standalone”. Mientras que el plugin manual requiere que el usuario coloque el archivo de respuesta del desafío manualmente, el plugin standalone inicia un servidor web simple, aunque esto podría requerir temporalmente detener cualquier servidor web ya en funcionamiento.
A pesar de estos avances, los usuarios deben asegurarse de que Certbot esté configurado para la renovación automática de certificados. Dado que los instaladores específicos de servidores aún no soportan certificados de dirección IP, se recomienda configurar un «deploy-hook» que indique al servidor web que cargue los certificados más actualizados desde el disco.
El equipo de Let’s Encrypt anima a los usuarios a disfrutar de las ventajas de los certificados de dirección IP y a recurrir al foro de la comunidad para cualquier consulta o inconveniente.
Fuente: EFF.org