Let’s Encrypt : il est désormais possible d’obtenir un certificat TLS pour une adresse IP !
L'autorité de certification Let's Encrypt, célèbre pour sa démocratisation du HTTPS, a annoncé avoir émis son premier certificat pour une adresse IP. Une nouveauté attendue par de nombreuses personnes et qui ouvre de nouvelles perspectives. Faisons le point.
Un certificat TLS pour une adresse IP, oui, c'est possible !
Jusqu'à présent, le modèle était le suivant : les certificats TLS / SSL pour le web reposait quasi exclusivement sur les noms de domaine. Lorsque vous vous connectez à https://www.it-connect.fr, votre navigateur vérifie un certificat émis pour ce nom de domaine, et non pour l'adresse IP du serveur qui l'héberge, qu'elle soit en adresse IPv4 ou IPv6. Cette approche est logique : les utilisateurs connaissent les services et leurs sites web préférés par leur nom, et non en mémorisant l'adresse IP... D'autant plus que cette adresse IP peut être variable lorsque le site web est derrière un système comme Cloudflare. L'adresse IP, d'une façon générale, est amenée à changer, par exemple, lors d'une migration d'un hébergeur à un autre, tandis que le nom de domaine reste le même.
Le caractère souvent "dynamique" d'une adresse IP, notamment pour les connexions personnelles, rend la notion de "propriété" moins évidente que pour un nom de domaine. Le contexte est différent du point de vue des adresses IP, notamment parce qu'attribuer un certificat à une adresse IP qui pourrait être réassignée à quelqu'un d'autre quelques jours plus tard pose un risque de sécurité évident.
C'est l'une des raisons pour lesquelles Let's Encrypt a préféré attendre avant de lancer cette évolution. Si cela est annoncé maintenant, ce n'est pas un hasard, rappelons que nous allons rentrer dans l'ère des certificats à très courte durée de vie : en 2029, la durée de tous les certificats TLS sera de 47 jours maximum. C'est encore loin, mais Let's Encrypt a déjà une solution pour les certificats TLS distribués sur les adresses IP : ils auront une validité de 6 jours.
"Par principe, les certificats Let's Encrypt qui couvrent des adresses IP doivent être des certificats de courte durée, valables pour seulement six jours environ. Ainsi, votre client ACME doit supporter le projet de spécification des profils ACME, et vous devez le configurer pour qu'il demande le profil à courte durée de vie.", précise le communiqué de Let's Encrypt.
Nouveaux usages et conditions d'obtention
Si la plupart des administrateurs de sites web n'auront pas besoin de cette nouvelle fonctionnalité, des cas d'usage spécifiques justifient ce besoin. Dans son communiqué, Let's Encrypt en identifie plusieurs :
- Fournir une page sécurisée par défaut pour les hébergeurs, lorsqu'un utilisateur tente d'accéder directement à l'IP d'un serveur.
- Sécuriser des services d'infrastructure comme le DNS over HTTPS (DoH).
- Protéger l'accès à distance à des appareils domestiques (serveurs NAS, objets connectés) sans avoir besoin d'un nom de domaine.
- Chiffrer des connexions éphémères au sein d'infrastructures cloud, par exemple, entre deux serveurs back-end.
Cependant, l'obtention de ces certificats est soumise à des règles pour pallier les risques inhérents aux adresses IP. Au-delà de la durée qui est très courte, et qui impose d'utiliser l'automatisation pour gérer ces courts cycles, il y a aussi des restrictions sur les méthodes de validations.
"Et, ce qui n'est sans doute pas surprenant, vous ne pouvez pas utiliser la méthode DNS challenge pour prouver que vous contrôlez une adresse IP ; seules les méthodes http-01 et tls-alpn-01 peuvent être utilisées.", ce qui est tout à fait logique puisque nous n'utilisons pas de nom de domaine.
Enfin, sachez que pour l'instant, la fonctionnalité est disponible sur l'environnement de test (Staging) de Let's Encrypt et devrait être déployée en production plus tard en 2025. Ce qui ne vous empêche pas de tester dès à présent.
Qu'en pensez-vous ?
Merci beaucoup pour ces informations Florian. Très instructif et intéressant.