Let's Encrypt、IPアドレス証明書を一般公開 有効期間は約6日：セキュリティニュースアラート

Let's EncryptはIPアドレス対象のTLS証明書を一般公開した。有効期間は約6日間でドメイン用にも選択可能だ。証明書短命化という業界の潮流を背景に、失効リスク低減と高い安全性を必要とする場合の有力な選択肢となる。

[ITmedia エンタープライズ編集部]

　Let's Encryptは2026年1月15日（現地時間）、IPアドレスのみを対象とするTLSサーバ証明書を一般提供したと発表した。

　このIPアドレス証明書は、有効期間が160時間の短期証明書として発行される。同時に、同じ有効期間を持つ短期証明書がドメイン名を対象とする証明書についても選択可能となった。

IPアドレス単独でのTLS通信が可能に　有効期間は約6日

　IPアドレス証明書は、ドメイン名ではなくIPv4またはIPv6アドレスに対しHTTPS通信の認証を実施するための証明書だ。これまで公開信頼型のTLS証明書は、DNS名を識別子とする形がほぼ前提となっており、IPアドレス単独での利用は制約が多かった。今回の一般提供により、ドメイン名を使用しない構成でも、Let’s Encryptの証明書を使ったTLS通信が可能となる。

　Let’s Encryptは、IPアドレスがドメイン名と比べて割り当て変更や利用主体の変化が起こりやすい点を踏まえ、より頻繁に検証する必要があると説明している。短い有効期間とすることで、誤った状態のまま証明書が長期間利用される可能性を抑える狙いがある。

　短期証明書はIPアドレス証明書だけでなく、従来のドメイン名を対象とする証明書でも利用可能となった。利用者は任意でこの短期証明書を選択でき、ACMEクライアントにおいて「shortlived」プロファイルを指定することで、従来の90日間有効な証明書に代わって取得が可能となる。

　Let’s Encryptは、短期証明書が通信の安全性向上に寄与するとしている。秘密鍵が漏えいした場合、これまでは失効処理が主な対策であったが、失効情報が常に確実に参照されるとは限らない状況があった。短期証明書においては有効期限そのものが短いため、影響が継続する時間を限定しやすいと説明している。

　短期証明書は任意選択制であり、標準設定として自動的に切り替わるものではない。更新処理を自動化している利用者であれば導入は比較的容易だが、短い有効期間に対応できない環境が存在する点も考慮されている。Let’s Encryptは、段階的に自動化が広がることを想定している。

　IPアドレス証明書については、Let’s Encryptが2025年に準備状況を公表しており、当初は6日間有効の特別なプロファイル上で限定的に提供される予定であった。今回の発表により、その仕組みが正式に一般公開された形となる。

　Let’s Encryptは、標準的な証明書の有効期間を現在の90日から段階的に短縮し、2028年までに45日に変更する自社の取り組みについてもあらためて触れている。今回提供が開始された短期証明書は、この短縮化の流れを進めたセキュリティを重視する利用者への先行的な選択肢として位置付けられる。