L'autorité de certification Let's Encrypt lance des certificats SSL/TLS gratuits pour les adresses IP, mais ils seront de courte durée

Avec des périodes de validité d'environ six jours seulement

L'autorité de certification Let's Encrypt lance des certificats SSL/TLS gratuits pour les adresses IP, mais ils seront de courte durée, avec des périodes de validité d'environ six jours seulement.

Let's Encrypt a émis son premier certificat SSL/TLS pour les adresses IP, marquant une nouvelle capacité pour l'autorité de certification à but non lucratif. Cette fonctionnalité est progressivement mise en place et sera bientôt disponible pour un plus grand nombre d'abonnés. La plupart des utilisateurs actuels peuvent continuer à utiliser des certificats de nom de domaine et n'ont pas besoin de certificats d'adresse IP, mais ceux qui en ont besoin peuvent y accéder immédiatement grâce à l'environnement d'essai.

Let's Encrypt est une autorité de certification à but non lucratif gérée par l'Internet Security Research Group (ISRG) qui fournit gratuitement des certificats X.509 pour le cryptage TLS (Transport Layer Security). Il s'agit de la plus grande autorité de certification au monde, utilisée par plus de 600 millions de sites web, l'objectif étant que tous les sites web soient sécurisés et utilisent le protocole HTTPS.

Récemment, Let's Encrypt a émis son premier certificat SSL/TLS pour les adresses IP, marquant une nouvelle capacité pour l'autorité de certification à but non lucratif. Cette fonctionnalité est progressivement mise en place et sera bientôt disponible pour un plus grand nombre d'abonnés. La plupart des utilisateurs actuels peuvent continuer à utiliser des certificats de nom de domaine et n'ont pas besoin de certificats d'adresse IP, mais ceux qui en ont besoin peuvent y accéder immédiatement grâce à l'environnement d'essai.

En ce qui concerne l'avenir, les certificats d'adresses IP devraient devenir généralement disponibles en production dans le courant de l'année 2025. Ce calendrier coïncide avec l'introduction plus large des certificats à durée de vie courte, qui deviendront également largement disponibles à ce moment-là. De nombreuses applications clientes de Let's Encrypt prennent déjà en charge la demande de certificats pour les adresses IP, bien que des mises à jour techniques mineures puissent être nécessaires pour certains logiciels clients.

Il est important que les certificats couvrant les adresses IP soient de courte durée, avec des périodes de validité d'environ six jours seulement. Les clients qui demandent ces certificats doivent être configurés pour utiliser le profil à durée de vie courte et prendre en charge le projet de spécification des profils ACME (Automated Certificate Management Environment). Cela garantit que seuls les logiciels les plus récents seront en mesure de tirer pleinement parti de la nouvelle fonctionnalité des certificats basés sur l'IP.

Pour rappel, en février, Let's Encrypt a mis fin aux courriels de notification d'expiration. Depuis sa création, Let’s Encrypt envoie des courriels de notification d’expiration de certificat. Pratique pour penser à renouveler son certificat avant qu’il arrive à expiration. Mais l'organisation a annoncé qu'elle mettait fin à ce service de notification pour économiser de l'argent et protéger la vie privée des utilisateurs qui se sont inscrits à ce service. Envoyer des millions de mails génère un coût et des exigences particulières en matière d’infrastructure, alors que Let's Encrypt fournit gratuitement les certificats pour les sites Web. La fin du service devrait permettre à Let's Encrypt de faire des économies.


Let's Encrypt lance des certificats SSL/TLS gratuits pour les adresses IP

Depuis que Let's Encrypt a commencé à émettre des certificats en 2015, les gens ont demandé à plusieurs reprises la possibilité d'obtenir des certificats pour les adresses IP, une option que seules quelques autorités de certification ont offerte. Jusqu'à présent, Let's Encrypt ne proposait pas cette fonctionnalité. Let's Encrypt a désormais émis son premier certificat pour une adresse IP. Comme pour d'autres nouvelles fonctionnalités de certificat figurant sur sa feuille de route technique, Let's Encrypt va maintenant commencer à proposer progressivement cette option à un nombre croissant aux abonnés.

Quelques informations sur les certificats d'adresse IP

Les adresses IP sont les adresses numériques sous-jacentes utilisées sur l'internet. Chaque appareil sur l'internet en possède une (bien que, dans la pratique moderne, elle puisse être partagée avec d'autres appareils, comme lorsqu'un réseau domestique entier partage une seule adresse IP publique). L'infrastructure de l'internet les utilise pour acheminer les communications vers leur destination. Les adresses IP se présentent sous deux formes, IPv4 et IPv6, et ressemblent généralement à 54.215.62.21 (IPv4) ou 2600:1f1c:446:4900::65 (IPv6).

La plupart des utilisateurs de l'internet voient rarement les adresses IP ou s'y réfèrent directement. Au lieu de cela, ils utilisent presque toujours des noms de domaine tels que letsencrypt.org pour se référer aux services Internet. Le système de noms de domaine (DNS) est une partie de l'infrastructure de l'internet qui permet aux logiciels de trouver les adresses IP associées à un nom de domaine particulier.

En principe, il n'y a aucune raison pour qu'un certificat ne soit pas délivré pour une adresse IP plutôt que pour un nom de domaine. En fait, les normes techniques et politiques relatives aux certificats l'ont toujours permis, et une poignée d'autorités de certification offrent ce service à petite échelle.

Pourquoi les certificats d'adresse IP sont moins courants

Tout d'abord, c'est parce que les utilisateurs d'Internet connaissent généralement les services par leurs noms de domaine, et non par leurs adresses IP, et parce que les adresses IP peuvent facilement changer « en coulisses » sans préavis. Par exemple, un site populaire peut passer d'une société d'hébergement cloud à une autre et mettre à jour ses enregistrements DNS pour qu'ils pointent vers le nouvel hébergeur. La plupart des utilisateurs ne remarqueraient jamais le changement, même si les adresses IP sous-jacentes du site étaient complètement différentes.

Deuxièmement, comme les adresses IP peuvent changer si facilement, le sentiment de « propriété » que l'on peut avoir à leur égard - ou qu'une autorité de certification peut être en mesure d'attester - tend à être plus faible que pour un nom de domaine. Si vous hébergez quelque chose chez vous sur une connexion résidentielle à large bande, votre fournisseur d'accès à l'internet ne garantit probablement pas que votre adresse IP restera la même au fil du temps. (En d'autres termes, la plupart des utilisateurs de l'internet à domicile disposent d'une « adresse IP dynamique » fournie par leur fournisseur d'accès, et non d'une « adresse IP statique »). Dans ce cas, vous devez faire face à la possibilité que cette adresse change souvent, éventuellement sans avertissement, et que votre ancienne adresse soit attribuée à quelqu'un d'autre.

Troisièmement, la plupart des opérateurs de services internet ne s'attendent pas à ce que les utilisateurs finaux se connectent intentionnellement à leurs sites directement par l'adresse IP. Dans certains cas, lorsqu'une adresse IP est partagée par différents sites web ou différents appareils, la connexion par adresse IP seule ne fonctionnerait même pas correctement. Dans ce cas, il n'y a pas beaucoup d'avantages à obtenir un certificat pour l'adresse IP !

Comment les abonnés de Let's Encrypt peuvent utiliser les certificats d'adresse IP

La plupart des abonnés actuels devraient se contenter de leurs certificats de nom de domaine existants et n'auront pas besoin de certificats d'adresse IP. Les abonnés qui ont besoin d'un certificat d'adresse IP le savent déjà. Voici quelques cas d'utilisation :

• Une page par défaut pour les fournisseurs d'hébergement, au cas où quelqu'un collerait l'adresse IP d'un serveur dans un navigateur au lieu d'un nom de site individuel (à l'heure actuelle, cela produit normalement une erreur dans le navigateur).
• Un moyen d'accéder à votre site web si vous n'avez pas de nom de domaine (à un certain coût en termes de fiabilité et de commodité par rapport à l'obtention d'un nom de domaine).
• Sécurisation du DNS sur HTTPS (DoH) ou d'autres services d'infrastructure. Le fait de disposer d'un certificat permet aux serveurs DoH de prouver plus facilement leur identité aux clients. Cela pourrait permettre aux utilisateurs ou aux clients de DoH d'imposer l'utilisation d'un certificat valide et reconnu publiquement lors de la connexion aux serveurs DoH.
• Sécuriser l'accès à distance à certains appareils domestiques (comme les serveurs de stockage en réseau et les appareils de l'internet des objets), même sans nom de domaine.
• Sécuriser les connexions éphémères au sein de l'infrastructure d'hébergement en nuage, comme les connexions entre un serveur back-end cloud et un autre, ou les connexions éphémères pour administrer des serveurs back-end nouveaux ou éphémères via HTTPS - tant que ces serveurs ont au moins une adresse IP publique disponible.

Comment obtenir un certificat d'adresse IP

Les certificats d'adresse IP sont actuellement disponibles dans Staging. Ils devraient être disponibles dans Prod plus tard en 2025, en même temps que les certificats à durée de vie courte. Avant la disponibilité générale, Let's Encrypt pourra autoriser l'émission de listes pour un nombre limité de partenaires. De nombreuses applications clientes de Let's Encrypt devraient déjà être en mesure de demander des certificats pour des adresses IP, bien qu'il puisse y avoir des changements techniques mineurs nécessaires pour prendre en charge cela dans certains logiciels clients.

Par principe, les certificats Let's Encrypt qui couvrent les adresses IP doivent être des certificats de courte durée, valables pour seulement six jours environ. Ainsi, votre client ACME doit supporter le projet de spécification des profils ACME, et vous devez le configurer pour qu'il demande le profil à courte durée de vie. Et, ce qui n'est sans doute pas surprenant, vous ne pouvez pas utiliser la méthode DNS challenge pour prouver votre contrôle sur une adresse IP ; seules les méthodes http-01 et tls-alpn-01 peuvent être utilisées.

Si votre logiciel client demande un certificat d'adresse IP avec des détails qui ne sont pas compatibles avec ces politiques, la commande sera rejetée par le serveur ACME. Dans ce cas, il se peut que votre application client doive être mise à jour ou reconfigurée. N'hésitez pas à demander de l'aide sur le forum de la communauté Let's Encrypt si vous rencontrez des problèmes, que ce soit en tant que développeur d'application client ou en tant qu'utilisateur final.

Source : Let's Encrypt

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Plus de 3 milliards de certifications ont été accordées gratuitement par Let's Encrypt, qui a sécurisé plus de 300 millions de sites web pour encourager les meilleures pratiques de sécurité

La durée de vie des certificats TLS sera officiellement réduite à 47 jours, car les informations contenues dans les certificats deviennent de moins en moins fiables au fil du temps

Nouvelles exigences de sécurité adoptées par le secteur des certificats HTTPS, pour garantir des connexions réseau sûres et fiables