如果你平时折腾过服务器、自建网站或者家庭 NAS,一定对 Let’s Encrypt 这个名字不陌生。
作为全球最知名的免费 SSL 证书颁发机构,它让无数个人站长和开发者“零成本上 HTTPS”,可以说是推动互联网安全的重要力量。
而就在 1 月 15 日,Let’s Encrypt 放出了一项非常重磅的新功能——
👉 正式支持为 IP 地址直接颁发 TLS 证书!
我给大家简单的解释一下,就是以后不用域名,也能给服务器 IP 直接上 HTTPS 了。
这对自建服务党来说,绝对是一个等了很多年的好消息。
一、以前为什么不行?
在过去的互联网安全体系里,HTTPS 证书几乎完全围绕域名设计。
你想让网站支持 HTTPS,流程通常是这样的:
- 先买一个域名
- 把域名解析到服务器 IP
- 通过 ACME 工具申请证书
- 给 Nginx / Apache 配置证书
如果你只有一台临时测试服务器,或者只是想给家里的 NAS、树莓派、内网穿透设备上个 HTTPS……
对不起,必须先搞个域名。
这就导致很多场景非常尴尬:
- 临时测试环境
- 纯 IP 访问的接口服务
- 家庭实验室
- 只开放几天的项目
为了一个短期项目,还得专门注册域名、做解析、续费……
明显不太合理。
二、新功能来了:IP 也能直接上 HTTPS
现在,这个问题终于被 Let’s Encrypt 官方解决了。
从 2025 年 1 月 15 日起:
Let’s Encrypt 正式推出基于 IP 地址的 TLS 证书(同时支持 IPv4 和 IPv6)
也就是说,你可以直接这样访问:
https://123.45.67.89
并且浏览器显示为“安全连接”,而不是刺眼的“不安全”。
对于很多自托管玩家来说,这几乎是“历史性更新”。
三、但有一个重要变化:有效期只有 6 天
和传统 90 天有效期的证书不同,这次推出的 IP 证书有个很大的特点:
强制使用短期证书,有效期仅 160 小时(约 6 天)
为什么这么短?
Let’s Encrypt 官方给出的逻辑是:
- IP 地址的变化频率远高于域名
- IP 归属权可能随时变更
- 短周期可以降低证书被误用的风险
- 更频繁验证 = 更安全
换句话说:
IP 证书本来就是为“短期、灵活、临时场景”设计的,所以没必要像域名证书那样给 90 天甚至更久。
四、不只是 IP,域名证书也在变短
除了 IP 地址证书,Let’s Encrypt 这次还顺便推出了:
“短期域名证书”(Short-Lived Domain Certificates)
原本 90 天有效期的域名证书,现在也可以主动选择缩短为 6 天版本。
这么做的好处是:
- 即使证书私钥泄露,影响时间也非常短
- 不再过度依赖“证书吊销机制”
- 更符合自动化运维场景
未来几年内,Let’s Encrypt 甚至计划:
将默认域名证书有效期从 90 天逐步缩短到 45 天
可以明显看出一个趋势:👉 互联网安全正在全面向“更短生命周期证书”转变
五、怎么申请 IP 地址证书?
小编仔细看了一下,官方给出的使用方式只要满足这几个条件,不难。
- 使用支持 shortlived 配置的 ACME 客户端(比如 Certbot)
- 客户端版本需要更新到支持新功能
- 把你的公网 IP 作为证书标识符
- 通过以下方式验证:
- HTTP-01
- TLS-ALPN-01
配置完成后,就可以像申请普通域名证书一样自动获取并续期了。
对运维和开发者来说,基本没什么学习成本。
六、这对普通用户有什么意义?
说白了,这个功能最受益的就是:
所有自己部署业务的朋友
比如下面这些场景:
- 家里 NAS 直接用 IP 开 HTTPS
- VPS 上临时测试项目
- 内网穿透出来的服务
- 短期对外暴露的接口
- 不想折腾域名的轻量服务
以前要想 HTTPS,必须先搞域名;
现在——👉 直接 IP 就能上 HTTPS,省钱又省事。
尤其对于新手和轻度用户来说,是非常友好的。
七、小结一下
这次更新的核心要点:
- Let’s Encrypt 正式支持 IP 地址 TLS 证书
- 支持 IPv4 和 IPv6
- 有效期强制为 6 天
- 适合短期、临时、自托管场景
- 域名证书也可以选择 6 天短期版本
- 未来证书有效期整体还会继续缩短
可以说,这是一项非常实用、非常接地气的升级。
最后说点个人感受
对于折腾服务器的人来说,HTTPS 早已是刚需。
而这次 Let’s Encrypt 的更新,让无域名 HTTPS真正成为现实,可以说是门槛更低、流程更简单、安全性更高了。
如果你也经常玩 VPS、自建服务、或者折腾家庭网络,这个新功能一定值得关注。
