Let's Encrypt mulai menyediakan sertifikat 6 hari dan sertifikat alamat IP secara umum

 (letsencrypt.org)
14 poin oleh GN⁺ 2026-01-17 | 1 komentar | Bagikan ke WhatsApp
  • Let's Encrypt mulai secara resmi menyediakan sertifikat jangka pendek dengan masa berlaku 6 hari dan sertifikat berbasis alamat IP
  • Sertifikat jangka pendek berlaku selama 160 jam (sekitar 6 hari 16 jam), dan dapat diterbitkan dengan memilih profil shortlived di klien ACME
  • Sertifikat ini bertujuan untuk mendorong pembaruan lebih sering demi meningkatkan keamanan dan mengurangi ketergantungan pada prosedur pencabutan (revocation) yang kurang andal
  • Sertifikat alamat IP mendukung IPv4 dan IPv6, dan karena volatilitas alamat IP yang tinggi, hanya diterbitkan dalam bentuk sertifikat jangka pendek
  • Langkah ini dinilai sebagai perubahan bertahap untuk memperluas sistem pembaruan sertifikat otomatis dan memperkuat keamanan

Penyediaan sertifikat jangka pendek (6 hari)

  • Sertifikat jangka pendek (short-lived certificate) berlaku selama 160 jam, jauh lebih singkat dibanding sertifikat 90 hari yang ada saat ini
    • Dapat diterbitkan dengan memilih profil sertifikat shortlived di klien ACME
  • Sertifikat ini memperkuat keamanan dengan meminta validasi lebih sering dan meringankan masalah ketidakstabilan sistem pencabutan
    • Sebelumnya, jika kunci privat bocor maka sertifikat harus dicabut, tetapi karena proses pencabutan tidak selalu dapat diandalkan, kondisi rentan bisa bertahan hingga sertifikat kedaluwarsa
    • Dengan sertifikat jangka pendek, periode kerentanan ini dapat dipersingkat secara signifikan
  • Sertifikat jangka pendek bersifat opsional (opt-in) dan tidak ada rencana untuk menjadikannya sebagai nilai default
    • Pengguna yang sudah sepenuhnya membangun proses pembaruan otomatis dapat beralih dengan mudah
    • Namun, karena tidak semua pengguna terbiasa dengan masa berlaku yang singkat, nilai default akan tetap dipertahankan
  • Dalam beberapa tahun ke depan, masa berlaku sertifikat default direncanakan akan dipangkas dari 90 hari menjadi 45 hari

Sertifikat alamat IP

  • Sertifikat alamat IP (IP address certificate) memungkinkan autentikasi koneksi TLS menggunakan alamat IP alih-alih nama domain
    • Mendukung IPv4 dan IPv6
  • Sertifikat alamat IP wajib hanya diterbitkan dalam bentuk sertifikat jangka pendek
    • Alasannya, alamat IP lebih sering berubah dibanding domain, sehingga memerlukan validasi yang lebih sering
  • Detail terkait dan contoh penggunaan dapat dilihat pada postingan sertifikat IP pertama yang diumumkan pada Juli 2025

Dukungan dan sponsor

  • Pengembangan ini didukung oleh Open Technology Fund, Sovereign Tech Agency, serta para sponsor dan donatur
  • Let's Encrypt adalah otoritas sertifikat (CA) gratis, otomatis, dan terbuka yang dioperasikan oleh organisasi nirlaba Internet Security Research Group (ISRG)
  • Aktivitas nirlaba ISRG secara keseluruhan dapat dilihat dalam laporan tahunan 2025

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-17
Komentar Hacker News

  • Per hari ini, saya tidak bisa mendapatkan sertifikat alamat IP dengan certbot
    Sebagai gantinya saya memakai lego, tetapi butuh cukup banyak waktu untuk menemukan perintah yang tepat
    Perintah yang berhasil kemarin adalah sebagai berikut
    lego --domains 206.189.27.68 --accept-tos --http --disable-cn run --profile shortlived

    • Saya penasaran apakah Caddy juga mendukung fitur ini
      Sepertinya masih dalam proses (isu GitHub)

  • Sertifikat alamat IP adalah topik yang sangat menarik terutama bagi pengguna iOS yang menjalankan server DoH sendiri
    Di iOS, fitur ini hanya berfungsi jika ada sertifikat yang benar untuk FQDN dan IP
    Karena itu, profil dari layanan besar seperti dns4eu atau nextdns berfungsi dengan baik, tetapi server DoH buatan pribadi gagal

    • OpenSSL secara ketat mengharuskan agar field SAN pada sertifikat menyertakan alamat IP saat koneksi TLS dibuat
      Mungkin ini bukan sesuatu yang sengaja ditambahkan secara eksplisit oleh engineer iOS, melainkan efek samping dari library kriptografi yang mereka gunakan
    • Saya memakai domain pribadi untuk DoH setiap hari di balik reverse proxy, dan tidak ada masalah sama sekali

  • Saya penasaran kenapa sertifikatnya berdurasi 6 hari
    Saya pikir 8 hari akan lebih cocok untuk pembaruan mingguan, dan 8 adalah pangkat dua sekaligus angka keberuntungan
    Tetapi 6 rasanya tidak menyenangkan

    • Dengan siklus 6 hari, beban dalam jangka panjang akan terdistribusi merata sepanjang hari kerja
      Kalau 8 hari, trafik bisa menumpuk pada hari tertentu
    • Sebenarnya bukan 6 hari persis, melainkan sekitar 160 jam (6,6 hari)
      160 juga merupakan jumlah dari 11 bilangan prima pertama, sekaligus jumlah kubik dari tiga bilangan prima pertama
    • Angka 6 juga melambangkan bahwa Tuhan bekerja selama 6 hari dan beristirahat pada hari ke-7
    • 6 adalah bilangan sempurna (perfect number) terkecil, jadi melambangkan kesempurnaan

  • Saya berharap setelah ini fokus beralih ke penerbitan sertifikat untuk alamat .onion
    .onion sudah memiliki pasangan kunci, jadi pembuktian kepemilikannya bisa lebih andal daripada DNS

  • Jika ingin sertifikat IP, certbot masih belum mendukungnya
    Ada PR terkait yang sudah dibuka (#10495)
    Sementara itu, acme.sh tampaknya sudah mendukung

    • Klien ACME yang saat ini mendukung alamat IP antara lain acme.sh, lego, traefik, acmez, caddy, cert-manager
      Diharapkan certbot juga segera mendukung

  • Saya sedang menguji dengan siklus pembaruan 2 minggu, tetapi sekarang sertifikat yang keluar menjadi berdurasi 6 hari, jadi saya cukup bingung
    Kalau pipeline gagal, waktu untuk debugging jadi terlalu sempit
    Sulit menerima alasan bahwa IP lebih mudah berubah daripada domain
    Fixed IP pada VPS tidak berubah sesering itu

    • Namun di layanan seperti AWS, Elastic IP bisa langsung dilepas
      Jika seseorang menerbitkan sertifikat 45 hari lalu segera melepaskan IP itu, pengguna lain bisa mendapatkan IP yang sama
      Itu berarti orang pertama masih memegang sertifikat yang valid untuk IP milik orang lain, dan itu berbahaya
    • Di lingkungan cloud, IP bisa dialokasikan ulang dengan cepat, jadi 6 hari pun terasa cukup lama
    • Masa berlaku sertifikat yang terlalu pendek tidak selaras dengan praktik operasional di dunia nyata
      Kebijakan seperti ini terasa seperti pendekatan yang kurang memahami kerja lapangan
    • Masalahnya adalah kendali kepemilikan atas IP
      Sebagian besar operator layanan tidak benar-benar mengendalikan IP itu sendiri, jadi ini adalah langkah untuk mengurangi risiko bagi CA
    • Jika instance EC2 dijalankan tanpa EIP, saat restart hampir selalu mendapat IP yang berbeda
      Penyalahgunaan memang sulit, tetapi tetap ada aspek keamanan yang perlu dipertimbangkan

  • Saya penasaran apakah hadirnya sertifikat alamat IP bisa membuat mode transport IPsec kembali mendapat perhatian
    RFC 5660 yang saya tulis juga berkaitan dengan hal ini

    • Namun secara realistis, SDN atau VPN site-to-site sudah cukup luas dipakai
      Membuat sertifikat dipakai untuk tunnel IPsec juga tetap merepotkan
      Beberapa perangkat firewall bahkan punya bug aneh yang menyebabkan autentikasi gagal jika rantai sertifikat terlalu panjang
    • Standar IPSec terlalu besar dan rumit, bahkan perusahaan yang membuatnya sendiri terus menerima CVE selama puluhan tahun

  • Karena sertifikat IP hanya bisa untuk alamat yang dapat diakses dari internet, TLS untuk perangkat LAN tetap sulit

    • Dengan IPv6, ini bisa dilakukan tanpa harus mengekspos ke luar
      Trafik bisa diterima di edge lewat DNAT lalu diteruskan ke VM untuk pembaruan sertifikat, kemudian didistribusikan ke perangkat internal
    • Saya memakai sertifikat wildcard(*.home.example.com) untuk jaringan rumah
      Memang perlu DNS publik yang bisa mengatur record TXT lewat API, tetapi plugin DNS lego mendukung banyak penyedia
    • Dalam kasus seperti ini, memakai CA privat juga bisa menjadi pilihan
    • Karena alamat jaringan internal tidak bisa dibuktikan kepemilikannya dari luar, menurut saya lebih baik tetap memakai domain

  • Pengumuman ini benar-benar kabar baik
    Sertifikat IP menyelesaikan masalah bootstrap awal pada software self-hosted
    Misalnya, mungkin fitur instant subdomains milik TakingNames tidak lagi dibutuhkan

  • Sertifikat alamat IP berguna ketika layanan sementara (ephemeral service) perlu berkomunikasi lewat TLS
    Tidak perlu membuat record DNS terpisah, jadi praktis saat menjalankan ratusan instance sementara

    • Ini juga bisa dimanfaatkan untuk Encrypted Client Hello (ECH)
      Dengan memakai sertifikat IP alih-alih SNI yang terekspos dalam bentuk plaintext, pihak luar tidak bisa melihat hostname sebenarnya
      Bahkan situs kecil yang bukan memakai cloud besar bisa menggunakan ECH tanpa proxy
    • Pengumuman resmi Let's Encrypt merangkum berbagai kasus penggunaan
    • Tidak adanya ketergantungan pada registrar terasa sangat menarik
      Tingkat anonimitas juga menjadi lebih tinggi
    • Untuk layanan yang tidak ditujukan langsung ke manusia, menghilangkan ketergantungan pada nameserver sangat berguna
    • Ini juga bisa diterapkan pada protokol seperti DNS over TLS atau DNS over HTTPS