Let's Encrypt lance la disponibilité générale des certificats de 6 jours et des certificats d'adresse IP

 (letsencrypt.org)
14 points par GN⁺ 2026-01-17 | 1 commentaires | Partager sur WhatsApp
  • Let's Encrypt commence officiellement à proposer des certificats à courte durée de vie de 6 jours ainsi que des certificats basés sur des adresses IP
  • Les certificats à courte durée de vie sont valides pendant 160 heures (environ 6 jours et 16 heures) et peuvent être émis en sélectionnant le profil shortlived dans un client ACME
  • Ces certificats visent à renforcer la sécurité en encourageant des renouvellements plus fréquents et à réduire la dépendance à des procédures de révocation peu fiables
  • Les certificats d'adresse IP prennent en charge à la fois IPv4 et IPv6 et, en raison de la forte variabilité des adresses IP, ne sont émis que sous forme de certificats à courte durée de vie
  • Cette évolution est considérée comme un changement progressif visant à généraliser les mécanismes automatisés de renouvellement des certificats et à renforcer la sécurité

Mise à disposition des certificats courts (6 jours)

  • Un certificat à courte durée de vie (short-lived certificate) est valide pendant 160 heures, soit une durée bien plus courte que celle des certificats classiques de 90 jours
    • Il peut être émis en sélectionnant le profil de certificat shortlived dans un client ACME
  • Ce certificat renforce la sécurité en imposant des vérifications plus fréquentes et en atténuant les problèmes d'instabilité du système de révocation
    • Jusqu'à présent, une fuite de clé privée nécessitait la révocation du certificat, mais comme la procédure de révocation n'était pas toujours fiable, l'exposition pouvait persister jusqu'à l'expiration
    • Avec les certificats à courte durée de vie, cette période de vulnérabilité est fortement réduite
  • Les certificats à courte durée de vie sont proposés sur une base optionnelle (opt-in), et il n'est pas prévu d'en faire le choix par défaut
    • Les utilisateurs ayant entièrement mis en place un processus de renouvellement automatique peuvent passer facilement à ce modèle
    • Mais comme tous les utilisateurs ne sont pas encore habitués à des durées de vie aussi courtes, le réglage par défaut reste inchangé
  • Au cours des prochaines années, la durée de validité par défaut des certificats devrait passer de 90 à 45 jours

Certificats d'adresse IP

  • Un certificat d'adresse IP (IP address certificate) permet d'authentifier une connexion TLS avec une adresse IP au lieu d'un nom de domaine
    • IPv4 et IPv6 sont tous deux pris en charge
  • Les certificats d'adresse IP sont obligatoirement émis uniquement sous forme de certificats à courte durée de vie
    • Les adresses IP changent plus fréquemment que les domaines, ce qui nécessite des vérifications plus régulières
  • Des informations détaillées et des cas d'usage sont disponibles dans le premier billet sur les certificats IP publié en juillet 2025

Support et sponsoring

  • Ce développement a été rendu possible grâce au soutien de l'Open Technology Fund, de la Sovereign Tech Agency, ainsi que des sponsors et donateurs
  • Let's Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte exploitée par l'organisation à but non lucratif Internet Security Research Group (ISRG)
  • Le rapport annuel 2025 de l'ISRG permet de consulter l'ensemble de ses activités à but non lucratif

À lire aussi

1 commentaires

 
GN⁺ 2026-01-17
Réactions sur Hacker News

  • À ce jour, il n’était pas possible d’obtenir un certificat d’adresse IP avec certbot
    J’ai utilisé lego à la place, mais il m’a fallu pas mal de temps pour trouver la commande exacte
    La commande qui a fonctionné hier était la suivante
    lego --domains 206.189.27.68 --accept-tos --http --disable-cn run --profile shortlived

    • Je me demandais aussi si Caddy prenait en charge cette fonctionnalité
      Cela semble encore en cours (issue GitHub)

  • Les certificats d’adresse IP sont un sujet particulièrement intéressant pour les utilisateurs iOS qui exploitent eux-mêmes un serveur DoH
    Sur iOS, il fallait un certificat valide à la fois pour le FQDN et pour l’IP pour que cela fonctionne
    C’est pourquoi les profils de grands services comme dns4eu ou nextdns fonctionnaient bien, mais qu’un serveur DoH personnel échouait

    • OpenSSL exige strictement que le champ SAN du certificat contienne l’adresse IP lors de l’établissement d’une connexion TLS
      Ce n’est probablement pas quelque chose qu’un ingénieur iOS a ajouté explicitement, mais plutôt un effet de bord de la bibliothèque cryptographique utilisée
    • J’utilise tous les jours DoH avec mon domaine personnel derrière un reverse proxy, et je n’ai aucun problème

  • Je me demandais pourquoi des certificats de 6 jours
    8 jours seraient pratiques pour un renouvellement hebdomadaire, et 8 est une puissance de 2 ainsi qu’un chiffre porte-bonheur à mes yeux
    Mais 6, ça ne me plaît tout simplement pas

    • Un cycle de 6 jours permet de répartir uniformément la charge sur les jours de la semaine à long terme
      Avec 8 jours, le trafic pourrait se concentrer certains jours précis
    • En réalité, ce n’est pas 6 jours mais environ 160 heures (6,6 jours)
      160 est aussi la somme des 11 premiers nombres premiers, ainsi que la somme des cubes des trois premiers nombres premiers
    • 6 évoque aussi le symbole selon lequel Dieu a travaillé 6 jours et s’est reposé le 7e
    • 6 est le plus petit nombre parfait (perfect number), donc un symbole de perfection

  • J’aimerais qu’ils se concentrent ensuite sur l’émission de certificats pour les adresses .onion
    Les .onion possèdent déjà une paire de clés, donc la preuve de possession y est plus fiable qu’avec le DNS

  • Si vous voulez des certificats IP, certbot ne les prend pas encore en charge
    Une PR correspondante est ouverte (#10495)
    En revanche, acme.sh semble déjà les prendre en charge

    • Parmi les clients ACME qui prennent actuellement en charge les adresses IP, on trouve acme.sh, lego, traefik, acmez, caddy, cert-manager
      On peut s’attendre à ce que certbot les prenne bientôt en charge aussi

  • Je testais avec un cycle de renouvellement de deux semaines, et j’ai été surpris de voir que le certificat est maintenant valable 6 jours
    Si le pipeline échoue, cela laisse trop peu de temps pour déboguer
    J’ai du mal à accepter l’idée qu’une IP soit plus volatile qu’un domaine
    L’IP fixe d’un VPS ne change pas si souvent

    • Mais chez AWS, par exemple, on peut libérer une Elastic IP immédiatement
      Si vous obtenez un certificat valable 45 jours puis rendez immédiatement l’IP, un autre utilisateur peut récupérer cette IP
      Il se retrouverait alors avec un certificat valide pour l’IP de quelqu’un d’autre, ce qui est risqué
    • Dans le cloud, les IP sont réattribuées rapidement, donc 6 jours, c’est déjà long à mes yeux
    • Une durée de vie de certificat trop courte ne correspond pas à des pratiques d’exploitation réalistes
      Ce genre de politique ressemble à une approche qui connaît mal le terrain
    • Le vrai problème, c’est le contrôle de possession de l’IP
      La plupart des opérateurs de services ne contrôlent pas directement l’IP elle-même, donc c’est une mesure destinée à réduire le risque pour l’AC
    • Si vous n’associez pas d’EIP à une instance EC2, elle récupère presque toujours une autre IP au redémarrage
      L’exploitation abusive est difficile, mais cela reste un point de sécurité à prendre en compte

  • Je me demandais si l’arrivée des certificats d’adresse IP pourrait remettre IPsec en mode transport sur le devant de la scène
    Le RFC 5660 que j’ai rédigé est aussi lié à ce sujet

    • Mais en pratique, les SDN ou les VPN site-to-site sont déjà largement répandus
      Faire utiliser des certificats dans des tunnels IPsec reste pénible
      Certains équipements de pare-feu ont même d’étranges bugs provoquant des échecs d’authentification quand la chaîne de certificats est longue
    • Le standard IPsec est trop vaste et complexe, et même les entreprises qui l’ont conçu ont continué à accumuler des CVE pendant des décennies

  • Les certificats IP ne sont possibles que pour des adresses accessibles depuis Internet, donc le TLS pour les équipements de LAN reste compliqué

    • Avec IPv6, c’est possible même sans exposition externe
      Il suffit de recevoir le trafic en DNAT à la périphérie, de le transmettre à une VM chargée du renouvellement des certificats, puis de le redistribuer vers les équipements internes
    • J’utilise pour mon réseau domestique un certificat wildcard(*.home.example.com)
      Il faut un DNS public capable de configurer les enregistrements TXT via API, mais le plugin DNS de lego prend en charge de nombreux fournisseurs
    • Dans ce cas, utiliser une AC privée est aussi une option
    • Comme on ne peut pas prouver la possession d’une adresse interne depuis l’extérieur, je pense qu’il vaut mieux simplement utiliser un domaine

  • Cette annonce est vraiment une excellente nouvelle
    Les certificats IP résolvent le problème de bootstrap initial des logiciels auto-hébergés
    Par exemple, la fonctionnalité de sous-domaines instantanés de TakingNames ne sera peut-être plus nécessaire

  • Les certificats d’adresse IP sont utiles lorsque des services éphémères communiquent en TLS
    Il n’est pas nécessaire de créer des enregistrements DNS séparés, ce qui est pratique lorsqu’on lance des centaines d’instances temporaires

    • Ils peuvent aussi servir pour Encrypted Client Hello (ECH)
      En utilisant un certificat IP au lieu d’un SNI exposé en clair, on évite de révéler le véritable nom d’hôte à l’extérieur
      Même des petits sites qui ne passent pas par un grand cloud pourraient ainsi utiliser ECH sans proxy
    • L’annonce officielle de Let's Encrypt récapitule différents cas d’usage
    • Le fait de ne pas dépendre d’un bureau d’enregistrement est séduisant
      Cela apporte davantage d’anonymat
    • Pour des services qui ne s’adressent pas à des humains, la suppression de la dépendance aux serveurs de noms est particulièrement utile
    • Cela peut aussi s’appliquer à des protocoles comme DNS over TLS ou DNS over HTTPS