Let's Encrypt 推出 IP 地址证书：有效期仅 6 天

长久以来，公网信任的 TLS 证书几乎都和 DNS 域名深度绑定。如果你的服务主要通过「纯 IP 地址」来提供服务，就很难直接启用安全的 HTTPS 连接——通常不得不再额外配置一个域名。

现在，全球最大的免费、自动化、开放证书颁发机构 Let’s Encrypt 正式推出了 IP 地址证书。这对所有热衷于自托管和 Homelab 的玩家来说，无疑是一项重大利好。

Let’s Encrypt 推出 IP 地址证书

核心发布：IP 直连 HTTPS 成为现实

Let’s Encrypt 宣布，全面开放「IP 地址 TLS 证书」服务，支持 IPv4 和 IPv6，但有效期只有 6 天。现在，开发者和运维人员无需再依赖域名系统，就可以直接为 IP 地址启用加密连接。

技术解析：为什么有效期只有 6 天？

与常规证书不同，Let’s Encrypt 颁发的 IP 地址证书属于「强制性短效证书」，有效期被严格设定为 160 小时（大约 6 天多一点）。官方强调，这一设计并非随意为之，而是针对 IP 地址的「瞬时性」特征量身定制的。

相比域名，IP 地址的所有权流转和重新分配频率要高得多。通过强制缩短有效期，可以大幅降低「误发证书」或「过期证书」后，被持续信任的风险，从而提升整个 PKI 生态的安全性。

同步上线：域名证书也可选「短效模式」

• 除了 IP 证书，Let’s Encrypt 还为域名证书开放了「短效模式」。你可通过 ACME 客户端选择shortlived配置文件，将证书有效期从 90 天压缩到 6 天。
• 短效证书的核心理念是「以设计替代吊销」：一旦私钥泄露，潜在的「危害窗口期」将被限制在极短时间内，而不用再依赖复杂的证书吊销列表（CRL）或 OCSP 机制。

实操指南：如何申请？

如果你想尝鲜 Let’s Encrypt 的短效 IP 地址证书，大概流程如下：

1. 使用支持shortlived证书配置文件的 ACME 客户端，例如最新版 Certbot。
2. 在申请时，将你的「公网 IP 地址」指定为标识符（Identifier）。
3. 通过 HTTP-01 或 TLS-ALPN-01 验证方式完成所有权验证。

在发布新功能的同时，Let’s Encrypt 再次重申了长期路线图：计划在未来几年内，将默认证书的有效期从当前的 90 天逐步缩短至 45 天。此次推出的 6 天短效证书，正是推动「更短信任周期」理念的重要一步。