Let's Encrypt, 6 Günlük ve IP Adresi Sertifikalarını Genel Kullanıma Sundu

 (letsencrypt.org)
14 puan yazan GN⁺ 2026-01-17 | 1 yorum | WhatsApp'ta paylaş
  • Let's Encrypt, 6 günlük geçerlilik süresine sahip kısa ömürlü sertifikaları ve IP adresi tabanlı sertifikaları resmen sunmaya başladı
  • Kısa ömürlü sertifikalar 160 saat (yaklaşık 6 gün 16 saat) geçerli ve ACME istemcisinde shortlived profili seçilerek alınabiliyor
  • Bu sertifikalar, daha sık yenilemeyi teşvik ederek güvenliği artırmayı ve güvenilirliği düşük iptal (revocation) süreçlerine bağımlılığı azaltmayı amaçlıyor
  • IP adresi sertifikaları hem IPv4 hem de IPv6'yı destekliyor ve IP adreslerinin daha değişken olması nedeniyle yalnızca kısa ömürlü sertifika biçiminde veriliyor
  • Bu adım, otomatik sertifika yenileme sistemlerinin yaygınlaştırılması ve güvenliğin güçlendirilmesi için kademeli bir değişim olarak değerlendiriliyor

Kısa ömürlü (6 günlük) sertifikalar

  • Kısa ömürlü sertifika (short-lived certificate) 160 saat geçerlidir ve mevcut 90 günlük sertifikalara göre çok daha kısa bir ömre sahiptir
    • ACME istemcisinde shortlived sertifika profili seçilerek alınabilir
  • Bu sertifikalar, daha sık doğrulama gerektirerek güvenliği artırır ve iptal sistemlerindeki kararsızlık sorunlarını hafifletir
    • Önceden özel anahtar sızdırıldığında sertifikanın iptal edilmesi gerekiyordu, ancak iptal süreci güvenilir olmadığından sertifika süresi dolana kadar zafiyet devam edebiliyordu
    • Kısa ömürlü sertifikalar kullanıldığında bu zafiyet penceresi önemli ölçüde kısalır
  • Kısa ömürlü sertifikalar isteğe bağlı (opt-in) olarak sunuluyor ve varsayılan hale getirilmesi planlanmıyor
    • Otomatik yenileme sürecini tamamen kurmuş kullanıcılar kolayca geçiş yapabilir
    • Ancak tüm kullanıcıların bu kadar kısa yaşam sürelerine alışkın olmadığı göz önünde bulundurularak varsayılan ayar korunuyor
  • Önümüzdeki birkaç yıl içinde varsayılan sertifika geçerlilik süresinin 90 günden 45 güne indirilmesi planlanıyor

IP adresi sertifikaları

  • IP adresi sertifikası (IP address certificate), alan adı yerine IP adresiyle TLS bağlantısının doğrulanmasını sağlar
    • Hem IPv4 hem de IPv6 desteklenir
  • IP adresi sertifikaları yalnızca kısa ömürlü sertifika biçiminde verilir
    • Bunun nedeni, IP adreslerinin alan adlarına göre daha sık değişmesi ve bu yüzden daha sık doğrulama gerektirmesidir
  • İlgili ayrıntılar ve kullanım örnekleri, Temmuz 2025'te yayımlanan ilk IP sertifikası yazısında bulunabilir

Destek ve sponsorluk

  • Bu geliştirme, Open Technology Fund, Sovereign Tech Agency ile sponsorlar ve bağışçıların desteğiyle hayata geçirildi
  • Let's Encrypt, kâr amacı gütmeyen Internet Security Research Group (ISRG) tarafından işletilen ücretsiz, otomatikleştirilmiş ve herkese açık bir sertifika otoritesidir (CA)
  • ISRG'nin 2025 yıllık raporunda kurumun kâr amacı gütmeyen faaliyetlerinin geneli görülebilir

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-17
Hacker News yorumları

  • Bugün itibarıyla certbot ile IP adresi sertifikası alınamıyordu
    Bunun yerine lego kullandım ama doğru komutu bulmak epey zaman aldı
    Dün başarıyla çalışan komut şuydu
    lego --domains 206.189.27.68 --accept-tos --http --disable-cn run --profile shortlived

    • Acaba Caddy de bu özelliği destekliyor mu diye merak ettim
      Görünüşe göre hâlâ üzerinde çalışılıyor (GitHub sorunu)

  • IP adresi sertifikaları, iOS kullanıcılarının kendi DoH sunucularını çalıştırması açısından özellikle ilgi çekici
    iOS'ta bunun çalışması için hem FQDN hem de IP için doğru sertifikaların olması gerekiyordu
    Bu yüzden dns4eu veya nextdns gibi büyük servislerin profilleri sorunsuz çalışırken, kişisel DoH sunucuları başarısız oluyordu

    • OpenSSL, TLS bağlantısında sertifikanın SAN alanında IP adresinin bulunmasını katı biçimde zorunlu kılıyor
      Bu muhtemelen bir iOS mühendisi tarafından özellikle eklenmiş bir şey değil, kullanılan kriptografi kütüphanesinin bir yan etkisi olabilir
    • Ben kişisel alan adımı bir reverse proxy arkasında DoH için her gün kullanıyorum ve hiçbir sorun yaşamıyorum

  • Neden 6 günlük sertifika seçildiğini merak ettim
    8 gün olsaydı haftalık yenileme için daha uygun olurdu; ayrıca 8'in 2'nin kuvveti ve uğurlu bir sayı olduğunu düşünüyorum
    Ama 6 bana hiç çekici gelmiyor

    • 6 günlük döngüde yük uzun vadede hafta geneline daha eşit dağılır
      8 gün olsaydı trafik belirli günlerde yoğunlaşabilirdi
    • Aslında süre tam 6 gün değil, yaklaşık 160 saat (6,6 gün)
      160, ilk 11 asal sayının toplamı ve aynı zamanda ilk üç asalın küplerinin toplamıdır
    • 6 gün, Tanrı'nın 6 gün çalışıp 7. gün dinlenmesi sembolizmini de taşıyor
    • 6, en küçük mükemmel sayı (perfect number) olduğu için kusursuzluğun simgesi

  • Sıradaki odak noktasının .onion adresleri için sertifika vermek olmasını isterim
    .onion zaten bir anahtar çifti taşıdığı için sahiplik kanıtı DNS'ten daha güvenilir

  • IP sertifikası istiyorsanız certbot henüz desteklemiyor
    İlgili PR açık durumda (#10495)
    Buna karşılık acme.sh bunu zaten destekliyor gibi görünüyor

    • Şu anda IP adreslerini destekleyen ACME istemcileri arasında acme.sh, lego, traefik, acmez, caddy, cert-manager var
      certbot'un da yakında desteklemesi bekleniyor

  • Ben 2 haftalık yenileme döngüsüyle test ediyordum ama şimdi sertifikalar 6 günlük gelince şaşırdım
    Pipeline başarısız olursa hata ayıklamak için süre çok kısa kalıyor
    IP'nin alan adından daha oynak olduğu gerekçesi bana pek ikna edici gelmiyor
    Bir VPS'in sabit IP'si o kadar sık değişmez

    • Ama AWS gibi yerlerde Elastic IP anında serbest bırakılabiliyor
      Diyelim 45 günlük bir sertifika aldınız ve hemen ardından IP'yi bıraktınız; başka bir kullanıcı o IP'yi alabilir
      Bu durumda başkasının IP'si için geçerli bir sertifikaya sahip olmuş olursunuz, bu da risklidir
    • Bulut ortamlarında IP'ler hızlı yeniden atanabildiği için 6 gün bile uzun sayılabilir
    • Fazla kısa sertifika ömrü gerçek operasyonel pratiklerle uyuşmuyor
      Bu tür politikalar sahadaki uygulamaları pek bilmeyen bir yaklaşım gibi duruyor
    • Sorun IP üzerindeki sahiplik ve kontrol yetkisi
      Çoğu servis operatörü IP'nin kendisini doğrudan kontrol etmediği için bu, CA riskini azaltmaya yönelik bir önlem
    • EC2 instance'ına EIP bağlamazsanız yeniden başlatıldığında neredeyse her zaman farklı bir IP alır
      Kötüye kullanımı zor olsa da güvenlik açısından yine de dikkate alınması gereken bir konu

  • IP adresi sertifikaları gelince IPsec transport mode yeniden ilgi görebilir mi diye merak ettim
    Yazdığım RFC 5660 da bununla ilgiliydi

    • Ama pratikte SDN veya site-to-site VPN zaten yeterince yaygın
      IPsec tünellerinde sertifika kullanmayı sağlamak hâlâ zahmetli
      Bazı firewall cihazlarında sertifika zinciri uzayınca doğrulamayı bozan tuhaf hatalar bile var
    • IPSec standardı fazla büyük ve karmaşık; üstelik bunu geliştiren şirket bile onlarca yıl boyunca sürekli CVE aldı

  • IP sertifikaları yalnızca internetten erişilebilen adresler için mümkün olduğundan, LAN cihazları için TLS hâlâ zor

    • IPv6 kullanılırsa dışarı açmadan da mümkün olabilir
      Edge tarafında DNAT ile trafik alınıp sertifika yenileme yapan bir VM'e iletilir, oradan da iç cihazlara dağıtılır
    • Ben ev ağım için wildcard sertifika (*.home.example.com) kullanıyorum
      API üzerinden TXT kaydı ayarlanabilen herkese açık bir DNS gerekiyor ama lego'nun DNS eklentisi birçok sağlayıcıyı destekliyor
    • Bu gibi durumlarda özel bir CA kullanmak da bir seçenek
    • İç ağ adreslerinde dışarıdan sahiplik kanıtı verilemeyeceği için bence doğrudan alan adı kullanmak daha mantıklı

  • Bu duyuru gerçekten sevindirici
    IP sertifikaları, self-hosted yazılımların ilk bootstrap sorununu çözüyor
    Örneğin TakingNames'in anında alt alan adı özelliği artık gerekli olmayabilir

  • IP adresi sertifikaları, kısa ömürlü servislerin (ephemeral service) TLS iletişimi kurmasında faydalı
    Ayrı bir DNS kaydı oluşturmaya gerek kalmadığı için yüzlerce geçici instance ayağa kaldırırken kullanışlı

    • Encrypted Client Hello (ECH) için de yararlı olabilir
      Düz metin olarak görünen SNI yerine IP sertifikası kullanılırsa dışarıdan gerçek host adı görülemez
      Böylece yalnızca büyük bulut sağlayıcıları değil, küçük siteler de proxy olmadan ECH kullanabilir
    • Let's Encrypt'in resmi duyurusunda çeşitli kullanım senaryoları özetleniyor
    • Kayıt kuruluşu bağımlılığı olmaması çekici bir nokta
      Bu da daha fazla anonimlik sağlıyor
    • İnsanlara yönelik olmayan servislerde nameserver bağımlılığını kaldırmak özellikle faydalı
    • DNS over TLS veya DNS over HTTPS gibi protokollerde de kullanılabilir