L’autorité de certification Let’s Encrypt expérimente des certificats gratuits pour sécuriser les adresses IP. Une très bonne nouvelle exception faite que leur validité n’est que de six jours.
Habituellement facturés entre 40 et 90 $ par an chez la concurrence (PositiveSSL, Sectigo, GeoTrust…), les certificats TLS/SSL pour les adresses IP passent au gratuit chez Let’s Encrypt. Il s’agit d’une bonne nouvelle pour les utilisateurs et entreprises qui veulent proposer à bon compte une adresse Internet sécurisée, la durée des certificats est cependant courte car limitée à 6 jours. « Aujourd’hui, nous avons émis notre premier certificat pour une adresse IP, comme nous l’avions annoncé en janvier. Comme pour d’autres fonctionnalités de certificat figurant sur notre feuille de route technique, nous allons maintenant commencer à déployer progressivement cette option pour un nombre de plus en plus important de nos abonnés », explique Let’sEncrypt.
Lancé en 2015, par l’Electronic Frontier Foundation (EFF) et l’Internet Security Research Group, cet organisme se cantonnait jusqu’alors à proposer des certificats TLS/SSL gratuits pour chiffrer des sessions web au niveau DNS mais depuis janvier dernier, la sécurisation gratuite des adresses IP était envisagée. C’est donc désormais chose faite. Pour ceux qui disposent d’une adresse IP statique et qui souhaitent héberger un site web, un certificat sécurisé d’adresse IP offre aux visiteurs une connexion sécurisée avec cet identifiant numérique tout en évitant le coût nominal d’un nom de domaine. Mais pourquoi avoir fixé une limite temporelle si importante ? Une telle restriction réduit en fait les risques d’attaques utilisant de faux certificats et nécessite en contrepartie d’automatiser le processus de renouvellement des certificats à l’aide d’un client ACME mais nécessite aussi plus de gymnastique du côté des utilisateurs.
Une disponibilité générale avant la fin de l’année
« Ainsi, votre client ACME doit supporter le projet de spécification des profils ACME et vous devez le configurer pour qu’il demande le profil à durée de vie courte. Et, ce qui n’est probablement pas surprenant, vous ne pouvez pas utiliser la méthode DNS challenge pour prouver votre contrôle sur une adresse IP ; seules les méthodes http-01 et tls-alpn-01 peuvent être utilisées », explique Let’s Encrypt. « Si votre logiciel client demande un certificat d’adresse IP avec des détails qui ne sont pas compatibles avec ces politiques, la commande sera rejetée par le serveur ACME. Dans ce cas, il se peut que votre application client doive être mise à jour ou reconfigurée. »
Les certificats d’adresse IP sont désormais dans l’environnement de serveurs de test (staging) de Let’s Encrypt et sont annoncés en disponibilité générale dans le courant de l’année.