Let's Encrypt推出有效期仅160小时的短期证书和IP地址证书，以提高安全性。短期证书通过更频繁的验证减少依赖不可靠的吊销机制，缩短私钥泄露后的风险期。用户可选择启用短期证书，但暂不作为默认选项。未来几年默认证书有效期将从90天逐步缩短至45天。IP地址证书则支持服务器通过IP地址验证TLS连接。

Let's Encrypt正式推出短期证书和IP地址证书服务。这些证书有效期仅为160小时（约6天半），用户只需在ACME客户端中选择"shortlived"证书配置文件即可获取。

短期证书通过提高验证频率和减少对不可靠吊销机制的依赖来增强安全性。传统90天有效期的证书一旦私钥泄露，在吊销机制失效的情况下可能持续造成风险。而短期证书将这一风险窗口大幅缩短。

目前短期证书为可选服务，暂不会设为默认选项。已实现自动化续订的用户可轻松切换至短期证书，但考虑到部分用户尚未实现全自动化，机构理解用户对超短有效期可能存在的顾虑。Let's Encrypt期待未来更多用户转向自动化解决方案，以验证短期证书的可行性。

根据此前公告，未来几年默认证书有效期将从90天逐步缩短至45天。

IP地址证书允许服务器运营商对IP地址（而非域名）的TLS连接进行认证，支持IPv4和IPv6协议。由于IP地址比域名更具临时性，Let's Encrypt规定此类证书必须采用短期模式，以确保更频繁的验证。更多详情可参考机构此前发布的IP证书专题文章。

此项开发工作获得了开放技术基金（Open Technology Fund）、主权技术机构（Sovereign Tech Agency）以及各赞助方的支持。

总结评论内容：

1. 关于IP证书的技术支持

• 指出certbot暂不支持IP证书，但acme.sh和lego支持 "certbot doesn't support it yet...acme.sh supports it though" (gruez) "lego --domains 206.189.27.68...run --profile shortlived" (ivanr)

2. IP证书的适用场景

• 适用于临时服务的TLS通信，避免配置DNS记录 "ephemeral services can do TLS communication...don't need to depend on provisioning a record" (iamrobertismo)
• 询问是否可用于本地开发替代自签名证书 "allow me to drop having to use self-signed certificates for localhost development?" (meling)

3. 对6天有效期的质疑

• 担心更新周期太短导致维护风险 "how am I supposed to do renewals? If something goes wrong...won't have time to fix" (qwertox)
• 质疑IP地址的临时性假设 "static IPs you get when you rent a vps, they're not transient" (qwertox)

4. 安全与架构问题

• 质疑TOFU授权机制 "why we are wasting so much time on utterly wrong TOFU authorization?" (hojofpodge)
• 担心集中式证书链的单点故障风险 "someone at the top...can refuse to give out further certificates...like a very big Denial of Service attack" (bflesch)