Les nouveaux certificats émis par Let’s Encrypt peuvent désormais sécuriser une adresse IP et pas seulement des noms de domaine.
Let’s Encrypt, l’une des principales autorités de certification, a franchi une étape importante : elle propose maintenant des certificats SSL/TLS pour les adresses IP. Jusqu’ici, seuls quelques fournisseurs les offraient. Cette nouveauté permet de répondre à une demande ancienne, en complétant son offre traditionnelle basée sur les noms de domaine. Concrètement, cela permet de sécuriser les pages d’accueil par défaut chez les hébergeurs, affichées quand on accède à un serveur directement par son adresse IP. Objectif : éviter les avertissements de sécurité dans les navigateurs. Autre bénéfice, ces certificats facilitent aussi une intégration sécurisée du DNS sur HTTPS (DoH), en renforçant l’authentification des serveurs.
L’émission de ces certificats IP pose toutefois des défis techniques : vérification de la propriété de l’adresse IP, gestion des allocations dynamiques, etc. Pour y répondre, Let’s Encrypt a mis en place des règles strictes : durée de vie très courte (environ six jours) et validation uniquement via les méthodes http-01 ou tls-alpn-01. Les challenges DNS ne sont pas acceptés, car ils ne permettent pas de prouver un contrôle direct et immédiat de l’adresse IP.
🧪 Comment Let’s Encrypt vérifie que vous contrôlez une adresse IP ?
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Pour délivrer un certificat, Let’s Encrypt doit s’assurer que vous contrôlez bien l’adresse IP concernée. Elle utilise deux méthodes sécurisées, simples mais efficaces :
🔸 http-01
- Vous placez un fichier spécial sur votre serveur web, à une adresse précise.
- Let’s Encrypt tente ensuite d’accéder à ce fichier via HTTP.
- Si elle y parvient, cela prouve que vous contrôlez bien le serveur (et donc l’adresse IP).
🔸 tls-alpn-01
- Vous configurez un petit certificat temporaire sur votre serveur.
- Let’s Encrypt s’y connecte en TLS et vérifie la présence de ce certificat spécifique.
- Cela prouve que vous avez un accès technique complet au serveur.
❗ Ces méthodes remplacent le traditionnel « challenge DNS », jugé insuffisant ici, car il ne garantit pas un contrôle direct de l’adresse IP.
Comme le souligne Cyber Security News, cette innovation répond à des besoins concrets dans les infrastructures modernes. Elle vise notamment les fournisseurs cloud, où les connexions entre serveurs sont souvent éphémères, et les fabricants d’objets connectés (IoT), qui doivent garantir un accès à distance sécurisé. Pour l’instant, cette fonctionnalité est en phase de test, avec un déploiement en production prévu plus tard en 2025. Les clients ACME doivent gérer la spécification des profils ACME et demander explicitement le profil « shortlived ».
TechSpot ajoute que même si la plupart des internautes accèdent aux services via des noms de domaine, il existe de vrais cas d’usage pour chiffrer directement une adresse IP. C’est le cas, par exemple, dans l’hébergement mutualisé, où une même adresse IP dessert plusieurs noms de domaine. Ces certificats renforcent ainsi la sécurité et l’expérience utilisateur.
Autre élément important relevé par Heise : Let’s Encrypt a arrêté d’envoyer des rappels par e-mail concernant l’expiration des certificats. Objectif : réduire les coûts, simplifier la gestion et mieux protéger la vie privée. Les utilisateurs sont invités à utiliser des services tiers pour recevoir ces alertes.
Enfin, GBHackers souligne que cette initiative constitue une étape clé pour renforcer la sécurité des infrastructures Internet. Les certificats IP ouvrent de nouvelles possibilités, notamment pour les environnements cloud et les objets connectés.
En somme, l’arrivée des certificats TLS pour adresses IP par Let’s Encrypt répond à un besoin longtemps exprimé. Elle s’accompagne de mécanismes de sécurité et s’adresse à des usages spécifiques, tout en enrichissant les options de protection disponibles pour les organisations et les infrastructures modernes.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
