Nouvelle avancée : certificats TLS pour adresses IP

Les nouveaux certificats émis par Let’s Encrypt peuvent désormais sécuriser une adresse IP et pas seulement des noms de domaine.

Let’s Encrypt, l’une des principales autorités de certification, a franchi une étape importante : elle propose maintenant des certificats SSL/TLS pour les adresses IP. Jusqu’ici, seuls quelques fournisseurs les offraient. Cette nouveauté permet de répondre à une demande ancienne, en complétant son offre traditionnelle basée sur les noms de domaine. Concrètement, cela permet de sécuriser les pages d’accueil par défaut chez les hébergeurs, affichées quand on accède à un serveur directement par son adresse IP. Objectif : éviter les avertissements de sécurité dans les navigateurs. Autre bénéfice, ces certificats facilitent aussi une intégration sécurisée du DNS sur HTTPS (DoH), en renforçant l’authentification des serveurs.

L’émission de ces certificats IP pose toutefois des défis techniques : vérification de la propriété de l’adresse IP, gestion des allocations dynamiques, etc. Pour y répondre, Let’s Encrypt a mis en place des règles strictes : durée de vie très courte (environ six jours) et validation uniquement via les méthodes http-01 ou tls-alpn-01. Les challenges DNS ne sont pas acceptés, car ils ne permettent pas de prouver un contrôle direct et immédiat de l’adresse IP.

Comme le souligne Cyber Security News, cette innovation répond à des besoins concrets dans les infrastructures modernes. Elle vise notamment les fournisseurs cloud, où les connexions entre serveurs sont souvent éphémères, et les fabricants d’objets connectés (IoT), qui doivent garantir un accès à distance sécurisé. Pour l’instant, cette fonctionnalité est en phase de test, avec un déploiement en production prévu plus tard en 2025. Les clients ACME doivent gérer la spécification des profils ACME et demander explicitement le profil « shortlived ».

TechSpot ajoute que même si la plupart des internautes accèdent aux services via des noms de domaine, il existe de vrais cas d’usage pour chiffrer directement une adresse IP. C’est le cas, par exemple, dans l’hébergement mutualisé, où une même adresse IP dessert plusieurs noms de domaine. Ces certificats renforcent ainsi la sécurité et l’expérience utilisateur.

Autre élément important relevé par Heise : Let’s Encrypt a arrêté d’envoyer des rappels par e-mail concernant l’expiration des certificats. Objectif : réduire les coûts, simplifier la gestion et mieux protéger la vie privée. Les utilisateurs sont invités à utiliser des services tiers pour recevoir ces alertes.

Enfin, GBHackers souligne que cette initiative constitue une étape clé pour renforcer la sécurité des infrastructures Internet. Les certificats IP ouvrent de nouvelles possibilités, notamment pour les environnements cloud et les objets connectés.

En somme, l’arrivée des certificats TLS pour adresses IP par Let’s Encrypt répond à un besoin longtemps exprimé. Elle s’accompagne de mécanismes de sécurité et s’adresse à des usages spécifiques, tout en enrichissant les options de protection disponibles pour les organisations et les infrastructures modernes.