無料のSSL証明書でおなじみのLet’s Encrypt が、IPアドレスを対象とした証明書の発行を開始すると発表しました(公式ブログ)。これまでLet’s Encryptの証明書はドメイン名(例: letsencrypt.org)を対象としたものに限定されていたため、IPベースの通信に対応するには別の認証局を使うしかありませんでした。今回のアップデートによりIPアドレス(例: 54.215.62.21)も対象となります。IPアドレス証明書は一般的ではく、一部のCA(認証局)でのみ証明書が発行されている状況です。これには、多くのユーザーがドメインで接続するため、IP単独では利便性が低いこと、IPは頻繁に変わるため恒常的な信頼性が低いこと、一部のケースでは、IPアドレスだけでは正しいWebサイトに接続できないことなどの理由があります。しかしIPベースの証明書に関する要望は長年にわたってLet’s Encryptに寄せられていたとのことです。IPベースの証明書の主な用途は以下の通りです。ホスティング事業者のデフォルトページサーバーの IP アドレスがブラウザに直接入力された場合に備えたページ。通常は証明書エラーが発生するが、IPアドレス証明書があればそれを回避できる。ドメイン名なしでのウェブサイトアクセスドメイン名を取得していない場合でも、直接 IP アドレスで HTTPS による安全なアクセスが可能に。ただし、信頼性や利便性はドメイン使用時に比べて劣る。DNS over HTTPS(DoH)などのインフラサービスのセキュリティ強化公開鍵証明書があることで、DoH サーバーがクライアントに自身の正当性を証明しやすくなる。これにより、クライアント側で「信頼された公開証明書が必要」といった要件を enforce しやすくなる。自宅のデバイス(NAS や IoT機器など)へのリモートアクセスの保護ドメイン名がなくても、HTTPS 接続による安全なアクセスが可能に。クラウドインフラ内の短期間の接続の保護一時的なバックエンド通信や、新規/短命なサーバーの管理用接続を HTTPS で保護可能(パブリック IP アドレスを持っていることが条件)。なお、IP証明書は 短期(約6日間)有効 な「shortlived」プロファイルのみ対応し、発行には http-01 または tls-alpn-01 チャレンジが必要です(DNSチャレンジは利用不可)。また、ACME クライアントも shortlived に対応している必要があります。現在は、Staging環境で発行可能で、本番環境は2025年後半が予定されています。