Ücretsiz TLS sertifikalarının anahtar sağlayıcısı Let’s Encrypt, genel kullanıma yönelik kısa ömürlü ve IP adresi tabanlı sertifikalar sundu. Sertifika güvenliğinde uzun süredir devam eden sorunları ele alan bu yeni seçenekler 2026’nın başından itibaren kullanıma sunuldu.
Kısa ömürlü sertifikalar yalnızca 160 saat, yani yaklaşık altı buçuk gün sürer; IP tabanlı sertifikalar ise alan adları yerine doğrudan IP adreslerine bağlanır. Kullanıcılar ACME istemcilerinde “kısa ömürlü” profili seçerek bunları etkinleştirir.
Bu hamle, kuruluşların artan önemli riskler ve tedarik zinciri saldırıları karşısında daha güçlü TLS korumaları için baskı yapmasıyla birlikte geliyor. Let’s Encrypt, 2025’in sonlarındaki beta testlerini temel alarak genel kullanılabilirliği bir blog gönderisinde duyurdu.
Kısa Ömürlü Sertifikalar Güvenliği Artırır
Geleneksel TLS sertifikaları 90 güne kadar dayanır ve özel anahtarların sızması durumunda hasara karşı geniş pencereler oluşturur. Saldırganlar, iptal işlemi devreye girene veya sertifikanın süresi dolana kadar çalınan anahtarlardan yararlanabilir.
Ancak CRL’ler ve OCSP gibi iptal sistemleri genellikle başarısız olur; birçok müşteri gecikme veya yanlış yapılandırma nedeniyle bunları görmezden gelir. Kısa ömürlü sertifikalar bu riski büyük ölçüde azaltır.
Her altı günde bir yenilemeyi zorunlu kılarak, sertifika yetkilisinden (CA) yeni doğrulama talep ederler. Bu, kesin olmayan iptallere olan bağımlılığı azaltır. Bir anahtar tehlikeye girerse, sertifika hızlı bir şekilde ölür ve maruz kalma süresi haftalar yerine saatlerle sınırlanır.
Let’s Encrypt, bunun yalnızca isteğe bağlı bir özellik olduğunu vurguluyor. Otomatik kurulumlar ACME aracılığıyla zahmetsizce yenilenir, ancak manuel kullanıcılar şimdilik daha uzun ömürleri korumayı tercih edebilir.
Ekip, Aralık 2025 güncellemesinde belirtildiği gibi, önümüzdeki birkaç yıl içinde temerrüt sürelerini yarıya indirerek 45 güne indirmeyi planlıyor. Bu kademeli geçiş, otomasyonun kesintiye uğramamasını teşvik ediyor. İlk benimseyenler sorunsuz operasyonlar bildiriyor ve bu da üretim için sertifika ölçeğinin kısa ömürlü olduğunu kanıtlıyor.
IP Adresi Sertifikaları Önemli Bir Boşluğu Dolduruyor
IP tabanlı sertifikalar, hem IPv4 hem de IPv6’yı destekleyerek sunucuların ham IP adresleri üzerinden TLS kimlik doğrulamasını yapmasına olanak tanır. DNS doğrulamasını kullanan etki alanı sertifikalarından farklı olarak bunlar, IP adresi doğrulama yöntemleri aracılığıyla belirli IP’lere bağlanır. Let’s Encrypt, bunların kısa ömürlü olmasını zorunlu kılar; IP’lerin değiştiğinin bilincinde olarak, genellikle dinamik bulut örnekleri veya mobil ağlar düşünülür.
Kullanım örnekleri arasında etki alanları olmayan eski sistemler, özel ağlardaki kapsayıcıya alınmış uygulamalar ve test ortamları için hızlı TLS yer alır. Doğrulama, genellikle doğrudan bağlantı yoluyla, IP’nin kontrolünü kanıtlayan ACME zorlukları aracılığıyla gerçekleşir. Let’s Encrypt, yaklaşımı doğrulayan ilk IP sertifikasını Temmuz 2025’te yayınladı.
Güvenlik uzmanları bunu hibrit ağlardaki boşlukları kapattığı için övüyor. Güvenlik duvarları ve yük dengeleyiciler artık kendinden imzalı sertifikalar gibi geçici çözümler olmadan yalnızca IP trafiğini güvence altına alabilir.
Tehdit avcıları ve Güvenlik Operasyonları için bu sertifikalar, daha sıkı anahtar rotasyonu ve daha az iptal takibi anlamına gelir. Sıfır güven kurulumları için bunları CI/CD işlem hatlarına entegre edin. Anormallikleri erken tespit etmek için Sertifika Şeffaflığı günlükleri gibi araçlarla izleyin.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
