IPアドレス用TLS証明書発行へ Let's Encryptが試験運用中：セキュリティニュースアラート

Let's Encryptは、ドメイン名を使わずIPアドレスのみでTLS証明書を発行する準備を進めている。6日間の短期有効な証明書として、限定的な許可リスト下で試験提供される予定で開発者や中小規模運用者への有用性が期待されている。

[後藤大地，有限会社オングス]

　Let's Encryptは2025年6月25日（現地時間）、IPアドレスを対象としたサーバ証明書の発行への準備が整いつつあることを発表した。現在、同機能は「shortlived profile」と呼ばれる6日間の有効期間を持つ特別なプロファイルで提供される予定で、このプロファイルは当面の間、限定的な許可リスト制（allowlist）で運用される。

Let's Encrypt、IPアドレス証明書発行に向けて前進

　この取り組みはドメイン名を使わないIPアドレス単独での証明書発行を実現するものだ。Let's Encryptは無料の認証局として、これまでドメイン名に基づく証明書を無償で提供してきたが、今回の発表によって、より柔軟な利用形態への対応が期待されている。ただし現時点では一般公開への具体的なスケジュールは示されておらず、allowlistの受付も開始されていない。

　この証明書は、証明書の拡張フィールドSAN（Subject Alternative Name）にIPアドレスを指定する形式で発行される。従来の証明書においては、Common Name（CN）にドメイン名を記述し、SANに補足情報を加える形が一般的だった。今回のIPアドレス証明書では主な識別情報はSANフィールドに記載され、CNは使用されないか、無視される構成となっている。Let's Encryptが公開したテスト証明書ではIPv6アドレスを使用するWebサイトへの適用例も示されている。

　有効期間が6日間と短く設定されている背景には、パブリックIPアドレスが比較的短期間で変更される可能性があるという現実がある。サーバの立ち上げや廃止が頻繁に行われる環境では長期間有効な証明書が悪用されるリスクを排除しきれない。こうしたセキュリティの懸念を考慮し、短期証明書による運用を選択したと見られている。

　短期間での有効期限切れに対応するため、Let's Encryptは将来的に自動発行および更新に対応したツールを提供する方針だ。ただし、証明書の発行対象となるIPアドレスが申請者の管理下にあることを確認する手段も必要とされる。IPベースの証明書を発行する商用認証局は既に存在しているが、そうしたサービスは主に企業用であり、費用が高額に設定されている例が多い。Let's Encryptが提供する無料の代替手段は、開発者や中小規模のIT運用者にとって有益な選択肢となる可能性がある。

　今後の動向については、Let's Encryptからの続報が待たれる段階にあるが、正式に公開されれば、ドメイン名に依存しない証明書の導入が広範囲に広がる余地が生まれることになる。IPアドレスベースの通信におけるTLSの適用が、より現実的かつ手軽なものになる可能性がある。