Let's Encrypt kann jetzt SSL-Zertifikate für IP-Adressen ausstellen
HTTPS ohne Domain: geht jetzt
Wer bisher ein SSL-Zertifikat von Let’s Encrypt wollte, brauchte eine Domain. Das war seit der Gründung 2015 so und hat in der Praxis gut funktioniert (für Websites). Aber nicht alles, was verschlüsselt kommunizieren soll, hat eine Domain.
Seit Januar 2026 stellt Let’s Encrypt nun auch Zertifikate für reine IP-Adressen aus. Und mit Certbot 5.3 (bzw. 5.4 für Webroot-Support) gibt es jetzt auch das passende Werkzeug dazu.
Warum braucht man das?
Es gibt überraschend viele Szenarien, in denen ein Server über seine IP-Adresse angesprochen wird und trotzdem verschlüsselt kommunizieren soll:
- Interne APIs und Microservices: Backend-Server, die über IP kommunizieren, weil DNS-Einträge nicht praktikabel oder zu langsam sind
- IoT- und Homelab-Geräte: NAS-Oberflächen, Drucker-Webinterfaces, Smart-Home-Controller, die im lokalen Netz über IP erreichbar sind
- Kurzlebige Cloud-Instanzen: Server, die nur Minuten oder Stunden existieren und für die sich kein DNS-Eintrag lohnt
- DNS-over-HTTPS-Endpunkte: ein Henne-Ei-Problem, wenn der DNS-Resolver selbst kein DNS nutzen kann
- Staging- und Testumgebungen: schnell aufgesetzte Server ohne eigene Domain
- Admin-Interfaces: Verwaltungsoberflächen, die bewusst nicht öffentlich per Domain erreichbar sein sollen
Bisher musste man sich für diese Fälle entweder ein (oft teures) Zertifikat von einer kommerziellen CA kaufen oder mit selbstsignierten Zertifikaten leben. Was Browserwarnungen, Vertrauensprobleme und Ausnahmeregeln nach sich zieht.
Wie funktioniert es?
Die Validierung läuft über HTTP-01, im Prinzip wie bei Domain-Zertifikaten. Let’s Encrypt stellt eine Anfrage an die IP-Adresse und erwartet eine bestimmte Antwort. Wenn der Server unter dieser IP die Challenge korrekt beantwortet, wird das Zertifikat ausgestellt.
Ein einfacher Certbot-Aufruf sieht so aus:
| |
Wichtig dabei:
| Detail | Wert |
|---|---|
| Gültigkeit | 6 Tage (Let’s Encrypt erzwingt das „shortlived"-Profil für IP-Zertifikate) |
| Automatische Erneuerung | Pflicht: bei 6 Tagen Laufzeit muss der Renewal-Cron zuverlässig laufen |
| Unterstützte Plugins | --webroot, --standalone, --manual (nginx/apache noch nicht) |
| Installation | Noch manuell: Certbot stellt das Zertifikat aus, die Webserver-Config muss man selbst anpassen |
| IPv4 und IPv6 | Beides unterstützt |
Warum nur 6 Tage?
Let’s Encrypt begrenzt IP-Zertifikate auf 6 Tage Laufzeit. Das klingt kurz, hat aber gute Gründe:
IP-Adressen wechseln häufiger den Besitzer als Domains. Bei Cloud-Providern kann eine IP heute dir und morgen jemand anderem gehören. Ein langlebiges Zertifikat für eine IP, die inzwischen weitergereicht wurde, wäre ein Sicherheitsproblem. Die kurze Laufzeit stellt sicher, dass ein Zertifikat nie lange überlebt, wenn die Zuordnung sich ändert.
Das ist elegant gelöst, erfordert aber, dass die automatische Erneuerung sauber funktioniert. Wer seine Cronjobs nicht im Griff hat, steht alle 6 Tage vor einem abgelaufenen Zertifikat.
Einordnung
Für die meisten Websites ändert sich nichts: wer eine Domain hat, braucht keine IP-Zertifikate. Aber für Self-Hoster, Homelab-Betreiber und Infrastruktur-Admins schließt das eine echte Lücke.
Besonders im Zusammenspiel mit den ebenfalls neuen 6-Tage-Zertifikaten (die auch für Domains verfügbar sind) zeigt sich eine klare Richtung: Let’s Encrypt entwickelt sich von einem reinen Website-Verschlüsselungsdienst zu einer Infrastruktur-CA, die auch für Szenarien jenseits klassischer Webseiten taugt.
Und das ist gut so. Jede Verbindung, die verschlüsselt wird, ist eine Verbindung weniger, die jemand mitlesen kann.
Quellen: