Let's Encrypt lance la disponibilité générale des certificats de 6 jours et des certificats d'adresse IP

 (letsencrypt.org)
14 points par GN⁺ 2026-01-17 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Let's Encrypt commence officiellement à proposer des certificats à courte durée de vie de 6 jours ainsi que des certificats basés sur des adresses IP
  • Les certificats à courte durée de vie sont valides pendant 160 heures (environ 6 jours et 16 heures) et peuvent être émis en sélectionnant le profil shortlived dans un client ACME
  • Ces certificats visent à renforcer la sécurité en encourageant des renouvellements plus fréquents et à réduire la dépendance à des procédures de révocation peu fiables
  • Les certificats d'adresse IP prennent en charge à la fois IPv4 et IPv6 et, en raison de la forte variabilité des adresses IP, ne sont émis que sous forme de certificats à courte durée de vie
  • Cette évolution est considérée comme un changement progressif visant à généraliser les mécanismes automatisés de renouvellement des certificats et à renforcer la sécurité

Mise à disposition des certificats courts (6 jours)

  • Un certificat à courte durée de vie (short-lived certificate) est valide pendant 160 heures, soit une durée bien plus courte que celle des certificats classiques de 90 jours
    • Il peut être émis en sélectionnant le profil de certificat shortlived dans un client ACME
  • Ce certificat renforce la sécurité en imposant des vérifications plus fréquentes et en atténuant les problèmes d'instabilité du système de révocation
    • Jusqu'à présent, une fuite de clé privée nécessitait la révocation du certificat, mais comme la procédure de révocation n'était pas toujours fiable, l'exposition pouvait persister jusqu'à l'expiration
    • Avec les certificats à courte durée de vie, cette période de vulnérabilité est fortement réduite
  • Les certificats à courte durée de vie sont proposés sur une base optionnelle (opt-in), et il n'est pas prévu d'en faire le choix par défaut
    • Les utilisateurs ayant entièrement mis en place un processus de renouvellement automatique peuvent passer facilement à ce modèle
    • Mais comme tous les utilisateurs ne sont pas encore habitués à des durées de vie aussi courtes, le réglage par défaut reste inchangé
  • Au cours des prochaines années, la durée de validité par défaut des certificats devrait passer de 90 à 45 jours

Certificats d'adresse IP

  • Un certificat d'adresse IP (IP address certificate) permet d'authentifier une connexion TLS avec une adresse IP au lieu d'un nom de domaine
    • IPv4 et IPv6 sont tous deux pris en charge
  • Les certificats d'adresse IP sont obligatoirement émis uniquement sous forme de certificats à courte durée de vie
    • Les adresses IP changent plus fréquemment que les domaines, ce qui nécessite des vérifications plus régulières
  • Des informations détaillées et des cas d'usage sont disponibles dans le premier billet sur les certificats IP publié en juillet 2025

Support et sponsoring

  • Ce développement a été rendu possible grâce au soutien de l'Open Technology Fund, de la Sovereign Tech Agency, ainsi que des sponsors et donateurs
  • Let's Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte exploitée par l'organisation à but non lucratif Internet Security Research Group (ISRG)
  • Le rapport annuel 2025 de l'ISRG permet de consulter l'ensemble de ses activités à but non lucratif

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.