Let's Encrypt เริ่มเปิดให้ใช้งานใบรับรองอายุ 6 วันและใบรับรองสำหรับที่อยู่ IP อย่างเป็นทางการ

 (letsencrypt.org)
14 คะแนน โดย GN⁺ 2026-01-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Let's Encrypt เริ่มให้บริการ ใบรับรองระยะสั้นที่มีอายุ 6 วัน และ ใบรับรองที่อิงจากที่อยู่ IP อย่างเป็นทางการ
  • ใบรับรองระยะสั้นมีอายุ 160 ชั่วโมง (ประมาณ 6 วัน 16 ชั่วโมง) และออกได้โดยเลือกโปรไฟล์ ‘shortlived’ ใน ACME client
  • ใบรับรองนี้มีจุดประสงค์เพื่อ กระตุ้นให้มีการต่ออายุบ่อยขึ้นเพื่อเสริมความปลอดภัย และ ลดการพึ่งพากระบวนการเพิกถอน (revocation) ที่มีความน่าเชื่อถือต่ำ
  • ใบรับรองสำหรับที่อยู่ IP รองรับทั้ง IPv4 และ IPv6 และเนื่องจากที่อยู่ IP เปลี่ยนแปลงได้บ่อย จึง ออกได้เฉพาะในรูปแบบใบรับรองระยะสั้นเท่านั้น
  • มาตรการครั้งนี้ถูกมองว่าเป็น การเปลี่ยนแปลงแบบค่อยเป็นค่อยไปเพื่อขยายระบบต่ออายุใบรับรองอัตโนมัติและเสริมความปลอดภัย

การให้บริการใบรับรองระยะสั้น (6 วัน)

  • ใบรับรองระยะสั้น (short-lived certificate) มีอายุ 160 ชั่วโมง ซึ่งสั้นกว่าใบรับรองแบบเดิมที่มีอายุ 90 วันอย่างมาก
    • สามารถออกได้โดยเลือก โปรไฟล์ใบรับรอง ‘shortlived’ ใน ACME client
  • ใบรับรองนี้ช่วยเสริมความปลอดภัยด้วยการ บังคับให้มีการยืนยันบ่อยขึ้น และ ลดปัญหาความไม่เสถียรของระบบเพิกถอน
    • เดิมทีเมื่อ private key รั่วไหล จำเป็นต้องเพิกถอนใบรับรอง แต่เนื่องจากกระบวนการเพิกถอนเชื่อถือได้ไม่มาก สภาวะเปราะบางจึงอาจคงอยู่จนกว่าจะหมดอายุ
    • เมื่อใช้ใบรับรองระยะสั้น ช่วงเวลาที่เสี่ยงนี้จะสั้นลงอย่างมาก
  • ใบรับรองระยะสั้นเป็นแบบ เลือกใช้เอง (opt-in) และไม่มีแผนจะเปลี่ยนให้เป็นค่าเริ่มต้น
    • ผู้ใช้ที่ สร้างกระบวนการต่ออายุอัตโนมัติไว้สมบูรณ์แล้ว สามารถเปลี่ยนมาใช้ได้ไม่ยาก
    • แต่เพื่อคำนึงว่าผู้ใช้ทุกคนอาจยังไม่คุ้นเคยกับอายุใบรับรองที่สั้น จึงยังคงค่าเริ่มต้นเดิมไว้
  • ในอีกไม่กี่ปีข้างหน้า มีแผนจะ ลดอายุการใช้งานของใบรับรองมาตรฐานจาก 90 วันเหลือ 45 วัน

ใบรับรองสำหรับที่อยู่ IP

  • ใบรับรองสำหรับที่อยู่ IP (IP address certificate) ทำให้สามารถยืนยันการเชื่อมต่อ TLS ด้วยที่อยู่ IP แทนชื่อโดเมนได้
    • รองรับทั้ง IPv4 และ IPv6
  • ใบรับรองสำหรับที่อยู่ IP จะต้อง ออกในรูปแบบใบรับรองระยะสั้นเท่านั้น
    • เนื่องจากที่อยู่ IP เปลี่ยนแปลงบ่อยกว่าชื่อโดเมน จึงจำเป็นต้อง ยืนยันบ่อยครั้ง
  • รายละเอียดเพิ่มเติมและกรณีการใช้งานสามารถดูได้จาก โพสต์เปิดตัวใบรับรอง IP ฉบับแรกที่เผยแพร่ในเดือนกรกฎาคม 2025

การสนับสนุนและผู้ให้ทุน

  • การพัฒนาครั้งนี้เกิดขึ้นได้ด้วยการสนับสนุนจาก Open Technology Fund, Sovereign Tech Agency และ ผู้สนับสนุนกับผู้บริจาค
  • Let's Encrypt คือ หน่วยงานออกใบรับรอง (CA) แบบฟรี อัตโนมัติ และเปิดเผยต่อสาธารณะ ที่ดำเนินงานโดยองค์กรไม่แสวงหากำไร Internet Security Research Group (ISRG)
  • สามารถดูภาพรวม กิจกรรมด้านไม่แสวงหากำไรทั้งหมด ได้ในรายงานประจำปี 2025 ของ ISRG

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-17
ความคิดเห็นจาก Hacker News

  • ณ วันนี้ยังไม่สามารถขอใบรับรองสำหรับที่อยู่ IP ด้วย certbot ได้
    เลยไปใช้ lego แทน แต่เสียเวลาพอสมควรกว่าจะหา คำสั่งที่ถูกต้องเจอ
    คำสั่งที่ใช้แล้วสำเร็จเมื่อวานคือ
    lego --domains 206.189.27.68 --accept-tos --http --disable-cn run --profile shortlived

    • เลยสงสัยว่า Caddy รองรับฟีเจอร์นี้ด้วยหรือยัง
      ดูเหมือนว่ายังอยู่ระหว่างดำเนินการ (GitHub issue)

  • ใบรับรองสำหรับที่อยู่ IP เป็นประเด็นที่น่าสนใจมากโดยเฉพาะสำหรับผู้ใช้ iOS ที่รันเซิร์ฟเวอร์ DoH เอง
    บน iOS จะใช้งานได้ก็ต่อเมื่อมีใบรับรองที่ถูกต้องทั้งสำหรับ FQDN และ IP
    ดังนั้นโปรไฟล์ของบริการใหญ่ ๆ อย่าง dns4eu หรือ nextdns จึงทำงานได้ดี แต่เซิร์ฟเวอร์ DoH ที่ทำขึ้นเองกลับล้มเหลว

    • OpenSSL บังคับอย่างเคร่งครัดว่าใบรับรองต้องมีที่อยู่ IP อยู่ในฟิลด์ SAN เมื่อเชื่อมต่อ TLS
      เป็นไปได้ว่านี่ไม่ใช่สิ่งที่วิศวกร iOS ตั้งใจเพิ่มโดยตรง แต่เป็น ผลข้างเคียงของไลบรารีเข้ารหัส ที่ใช้อยู่
    • ฉันใช้โดเมนส่วนตัวกับ DoH หลังรีเวิร์สพร็อกซีทุกวันอยู่แล้ว และไม่พบปัญหาอะไร

  • สงสัยว่าทำไมถึงเป็นใบรับรองอายุ 6 วัน
    8 วันน่าจะเหมาะกับการต่ออายุแบบรายสัปดาห์มากกว่า และ 8 ก็เป็น กำลังของ 2 แถมยังเป็นเลขมงคลด้วย
    แต่ 6 นี่รู้สึกไม่ค่อยชอบเท่าไร

    • ถ้าใช้รอบ 6 วัน ภาระงานในระยะยาวจะ กระจายเท่ากัน ตลอดวันในสัปดาห์
      ถ้าเป็น 8 วัน ทราฟฟิกอาจไปกระจุกในบางวัน
    • จริง ๆ แล้วไม่ใช่ 6 วันเป๊ะ แต่ประมาณ 160 ชั่วโมง (6.6 วัน)
      160 เป็นผลรวมของจำนวนเฉพาะ 11 ตัวแรก และยังเป็นผลรวมของกำลังสามของจำนวนเฉพาะ 3 ตัวแรกด้วย
    • 6 ยังสื่อถึง พระเจ้าทรงทำงาน 6 วันและพักในวันที่ 7 อีกด้วย
    • 6 เป็น จำนวนสมบูรณ์ (perfect number) ที่เล็กที่สุด จึงเป็นสัญลักษณ์ของความสมบูรณ์แบบ

  • หวังว่าต่อไปจะมุ่งไปที่การออก ใบรับรองสำหรับที่อยู่ .onion
    .onion มีคู่กุญแจอยู่แล้ว จึงพิสูจน์ความเป็นเจ้าของได้เชื่อถือได้มากกว่า DNS

    • เอกสารมาตรฐานและเว็บไซต์ที่เกี่ยวข้อง
    • แต่ก็คิดว่า HTTPS อาจไม่จำเป็นนัก เพราะตัว Tor เองมีทั้ง การเข้ารหัสและการยืนยันตัวตน อยู่แล้ว

  • ถ้าต้องการใบรับรอง IP ตอนนี้ certbot ยังไม่รองรับ
    มี PR ที่เปิดไว้แล้ว (#10495)
    ส่วน acme.sh ดูเหมือนจะรองรับแล้ว

    • ตอนนี้ ACME client ที่รองรับที่อยู่ IP มี acme.sh, lego, traefik, acmez, caddy, cert-manager
      และคาดว่า certbot ก็น่าจะรองรับในไม่ช้า

  • เดิมฉันทดสอบด้วยรอบต่ออายุทุก 2 สัปดาห์ แต่ตอนนี้ใบรับรองออกมาเป็นแบบ อายุ 6 วัน เลยงงมาก
    ถ้า pipeline ล้มเหลว เวลาสำหรับดีบักจะสั้นเกินไป
    เหตุผลที่ว่า IP เปลี่ยนแปลงได้มากกว่า โดเมนก็ดูไม่ค่อยน่าเชื่อ
    IP แบบคงที่ของ VPS ไม่ได้เปลี่ยนบ่อยขนาดนั้น

    • แต่บนระบบอย่าง AWS สามารถปล่อย Elastic IP ได้ทันที
      ถ้าออกใบรับรองอายุ 45 วันแล้วคืน IP ไปทันที ผู้ใช้คนอื่นอาจได้ IP นั้นไปใช้ต่อ
      แบบนั้นก็เท่ากับถือใบรับรองที่ยังใช้ได้ของ IP ของคนอื่น ซึ่งอันตรายมาก
    • ในสภาพแวดล้อมคลาวด์ IP ถูกจัดสรรใหม่ได้เร็ว ดังนั้นแม้แต่ 6 วันก็ยังถือว่านาน
    • อายุใบรับรองที่สั้นเกินไปไม่สอดคล้องกับวิธีปฏิบัติงานจริงในระบบงาน
      นโยบายแบบนี้ดูเหมือนเป็นแนวคิดที่ไม่ค่อยเข้าใจงานภาคสนามเท่าไร
    • ประเด็นคือ สิทธิ์ควบคุมความเป็นเจ้าของ ของ IP
      ผู้ให้บริการส่วนใหญ่ไม่ได้ควบคุมตัว IP โดยตรง จึงเป็นมาตรการเพื่อลดความเสี่ยงของ CA
    • ถ้าไม่ผูก EIP ให้กับอินสแตนซ์ EC2 ตอนรีสตาร์ตแทบจะได้ IP ใหม่เกือบทุกครั้ง
      แม้การนำไปใช้ในทางที่ผิดจะไม่ง่าย แต่ก็ยังเป็นประเด็นด้านความปลอดภัยที่ควรคำนึงถึง

  • สงสัยว่าการมีใบรับรองที่อยู่ IP จะทำให้ IPsec transport mode กลับมาได้รับความสนใจอีกหรือไม่
    RFC 5660 ที่ฉันเขียนก็เกี่ยวข้องกับเรื่องนี้ด้วย

    • แต่ในโลกความเป็นจริง SDN หรือ site-to-site VPN ก็แพร่หลายพออยู่แล้ว
      การบังคับให้ใช้ใบรับรองกับ IPsec tunnel ก็ยังยุ่งยากอยู่ดี
      อุปกรณ์ไฟร์วอลล์บางตัวก็ยังมีบั๊กแปลก ๆ ที่ทำให้ตรวจสอบสิทธิ์ล้มเหลวเมื่อ certificate chain ยาวเกินไป
    • มาตรฐาน IPSec ใหญ่และซับซ้อนเกินไป แม้แต่บริษัทที่สร้างมันขึ้นมาก็ยังเจอ CVE ต่อเนื่องมาหลายสิบปี

  • เนื่องจากใบรับรอง IP ใช้ได้เฉพาะกับที่อยู่ที่เข้าถึงได้จากอินเทอร์เน็ตเท่านั้น การทำ TLS สำหรับอุปกรณ์ใน LAN ก็ยังยากเหมือนเดิม

    • ถ้าใช้ IPv6 ก็ทำได้โดยไม่ต้องเปิดออกสู่อินเทอร์เน็ต
      รับทราฟฟิกด้วย DNAT ที่ edge แล้วส่งต่อไปยัง VM สำหรับต่ออายุใบรับรอง จากนั้นค่อยกระจายไปยังอุปกรณ์ภายใน
    • ฉันใช้ wildcard certificate (*.home.example.com) สำหรับเครือข่ายที่บ้านอยู่
      ต้องมี public DNS ที่ตั้งค่า TXT record ผ่าน API ได้ แต่ DNS plugin ของ lego ก็รองรับผู้ให้บริการหลายราย
    • ในกรณีแบบนี้ การใช้ private CA ก็เป็นอีกทางเลือกหนึ่ง
    • ที่อยู่เครือข่ายภายในไม่สามารถพิสูจน์ความเป็นเจ้าของจากภายนอกได้ ดังนั้นใช้โดเมนไปเลยน่าจะดีกว่า

  • ดีใจมากกับประกาศครั้งนี้
    ใบรับรอง IP ช่วยแก้ ปัญหา bootstrap ระยะแรก ของซอฟต์แวร์แบบ self-hosted ได้
    ตัวอย่างเช่น อาจไม่จำเป็นต้องใช้ ฟีเจอร์ instant subdomains ของ TakingNames อีกต่อไป

  • ใบรับรองที่อยู่ IP มีประโยชน์กับ บริการชั่วคราว (ephemeral service) ที่ต้องสื่อสารผ่าน TLS
    ไม่จำเป็นต้องสร้าง DNS record แยกต่างหาก จึงสะดวกเมื่อจะเปิดอินสแตนซ์ชั่วคราวหลายร้อยตัว

    • ยังนำไปใช้กับ Encrypted Client Hello (ECH) ได้ด้วย
      แทนที่จะใช้ SNI ที่ถูกเปิดเผยเป็นข้อความธรรมดา ก็ใช้ใบรับรอง IP แทนได้ ทำให้คนภายนอกมองไม่เห็นชื่อโฮสต์จริง
      แม้แต่ เว็บไซต์ขนาดเล็ก ที่ไม่ได้อยู่บนคลาวด์รายใหญ่ก็สามารถใช้ ECH ได้โดยไม่ต้องมีพร็อกซี
    • ประกาศอย่างเป็นทางการของ Let's Encrypt มีการสรุปกรณีใช้งานที่หลากหลายไว้
    • จุดที่น่าสนใจคือไม่ต้อง พึ่งพาผู้รับจดทะเบียน
      ทำให้มี ความเป็นนิรนาม มากขึ้น
    • ถ้าเป็นบริการที่ไม่ได้มีไว้สำหรับมนุษย์ใช้งานโดยตรง การ ตัดการพึ่งพาเนมเซิร์ฟเวอร์ ก็มีประโยชน์มาก
    • ใช้ได้กับโปรโตคอลอย่าง DNS over TLS หรือ DNS over HTTPS เช่นกัน