Let’s Encrypt、IPアドレス専用証明書(IP SAN証明書)の発行に向けて準備中|セキュリティとITのニュース-セキュリティ対策Lab

投稿日時: 2025年06月30日更新日時: 2025年06月30日

無料のデジタル証明書発行機関であるLet’s Encryptは、IPアドレスのみを対象とする証明書（IP SAN証明書）の提供に向けて、いよいよ本格的な準備段階に入ったと2025年6月25日に発表しました。

1 Let’s Encrypt、IPアドレス専用の証明書発行に向けて本格始動
2 商用CAに頼らない、新たな選択肢
3 有効期間は6日間、更新は自動前提
- 3.1 CNではなくSANを活用、FQDNとの併記も可能に
4 一般向け提供はもう少し先か

Let’s Encrypt、IPアドレス専用の証明書発行に向けて本格始動

無料のSSL/TLS証明書を提供する認証局「Let’s Encrypt」は、IPアドレスのみを対象とした証明書（IP SAN証明書）の発行に向けた準備が最終段階に入ったと、2025年6月25日に発表しました。すでに内部テスト環境では発行が確認されており、近く本番環境での提供も開始される見込みです。

商用CAに頼らない、新たな選択肢

これまで、IPアドレスに直接対応した証明書を入手するには、商用の証明書発行機関（CA）を利用するしかなく、料金も安くはありませんでした。Let’s Encryptがこれに参入することで、開発者やネットワーク管理者にとって、よりアクセスしやすい選択肢が生まれることになります。

有効期間は6日間、更新は自動前提

今回のIP SAN証明書は「shortlived profile」と呼ばれるプロファイルに属しており、有効期間はわずか6日間。パブリックIPアドレスが頻繁に変わる現状を考慮した結果の仕様で、長期間有効な証明書だと、IPの再割り当て時に成りすましリスクが生じるためです。

当然ながら、この短さでは手動更新は現実的ではありません。証明書の取得・更新は、自動化ツールを使った運用が前提となります。

Let’s Encryptでは、ユーザーが対象IPの所有者であることを確認するための仕組みと、関連ツールの整備も進めているとのことです。

CNではなくSANを活用、FQDNとの併記も可能に

IPアドレスを使った証明書では、一般的なCommon Name（CN）の代わりに、Subject Alternative Name（SAN）フィールドに情報を記載します。もちろんSANには複数のIPアドレスやFQDN（完全修飾ドメイン名）を併記することも可能で、すでにテストケースでもその動作が確認されています。