Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Let’s Encrypt teste un certificat gratuit pour les adresses IP

Vous prendrez bien un petit café avec cette actualité ?

Let’s Encrypt teste un certificat gratuit pour les adresses IP

Let's Encrypt teste auprès de ses clients un nouveau service : la délivrance de certificats TLS/SSL attribués non pas à un nom de domaine, mais à une adresse IP. Plusieurs autorités de certification la proposaient déjà, mais le service de Let's Encrypt, qui devrait être déployé plus largement d'ici à la fin de l'année, présente l'intérêt d'être gratuit...

Le 03 juillet à 15h05

Let's Encrypt a annoncé mardi l'émission de son premier certificat associé à une adresse IP. Une page de test permet de confirmer l'efficacité du dispositif : le navigateur accède directement à une adresse IPv6 et pourtant, la connexion se fait bien en HTTPS, ce qui confirme la détection d'un certificat valide.

En plus de l’adresse IP, on remarque dans les détails du certificat qu’il est aussi valable pour les noms de domaine, ici abad.cafe. Let’s Encrypt ne parle que d’IPv6 dans ses exemples, mais rien ne devrait empêcher les certificats de fonctionner avec des IPv4, à confirmer lorsque la fonctionnalité sera disponible.

L'autorité, placée pour mémoire sous le contrôle de l'Internet Security Research Group (ISRG), indique que cette nouvelle fonctionnalité est pour l'instant proposée à une sélection de clients dans son environnement de simulation (staging).

Pourquoi certifier une adresse IP ?

Dans les usages du quotidien, l'internaute lambda réalise sa navigation courante au moyen d'URL, qui reposent sur des noms de domaine, puis sur des résolveurs DNS chargés de faire le pont entre ces derniers et l'adresse réseau de la machine que l'on souhaite contacter. Dit autrement : pour lire Next, j'entre le domaine next.ink dans mon navigateur, et non l'adresse IP du serveur qui héberge le site.

L'utilisation des noms de domaine présentent de multiples avantages, à commencer par celui de constituer un référentiel permanent, là où l'adresse IP d'une machine peut changer. Si le serveur qui héberge Next migre vers une nouvelle infrastructure, son adresse IP changera, mais le site restera accessible via l'adresse next.ink.

« Étant donné que les adresses IP peuvent changer si facilement, le sentiment de "propriété" que l’on peut avoir à leur égard – ou qu’une autorité de certification peut être en mesure d’attester – a tendance à être plus faible que pour un nom de domaine », estime de ce fait Let's Encrypt. Dans la pratique, la plupart des certifications TLS/SSL, qui servent pour mémoire à garantir le chiffrement des échanges entre le client (votre navigateur) et le serveur, portent donc sur des noms de domaine.

Il existe toutefois plusieurs cas de figure dans lesquels l'internaute peut avoir besoin d'utiliser directement une adresse IP... le plus évident d'entre eux étant d'offrir la possibilité de se connecter à un serveur Web de façon sécurisée sans avoir à acheter un nom de domaine.

Entre autres scénarios, Let's Encrypt évoque l'accès distant à des appareils domestiques de type NAS ou domotique – qui soulève la problématique de l'adresse IP dynamique chez certains fournisseurs d'accès à Internet, ou l'établissement d'une session éphémère à une infrastructure distante, à des fins d'administration de serveur par exemple.

Bien que ces usages puissent être considérés comme relevant d'une niche, la demande d'une certification des adresses IP est formulée auprès de Let's Encrypt depuis au moins 2017, remarque The Register. Et la question se pose depuis nettement plus longtemps, comme en témoignent ces échanges de 2010...

Plusieurs autorités de certification se sont d'ailleurs déjà positionnées sur le sujet, mais leurs offres sont payantes, là où Let's Encrypt propose un service gratuit.

Adaptations techniques

Pour profiter de ces certificats d'adresses IP, il faudra toutefois patienter, puisque Let's Encrypt évoque une disponibilité en production « courant 2025 ». « Avant cette disponibilité générale, nous pourrions autoriser l'émission de listes pour un nombre limité de partenaires susceptibles de nous faire part de leurs retours », précise l'autorité.

Let's Encrypt justifie notamment ce délai par la nécessité de laisser le temps nécessaire aux éditeurs de logiciels pour adapter leurs clients à cette évolution, mais souhaite également faire d'une pierre deux coups. La disponibilité générale des certificats pour adresses IP devrait ainsi intervenir en même temps qu'un autre changement majeur, préparé de longue date : le passage à des certificats « courts », dont la durée de vie sera limitée à six jours.

Commentaires (49)

votre avatar
Je suis partagé sur l'utilité.
Celleux qui auto-hébergent ont le plus souvent un domaine.
En zone résidentielle, ton IP (même la "full stack v4" de Free) est la propriété du FAI, et peu changer.

Est-ce qu'en réseau d'entreprise ça peut servir à héberger des services internes sans leur coller un nom (mais dans les entreprise t'aura un CA à toi capable de signer les noms du domaine interne, donc pareil je suis pas sûr de voir ce qu'ils y gagnent.

Peut-être que les experts pourront confirmer, mais j'y vois un gros plus pour les services de streaming illégaux. Tu proposes ton machin sur une IPv6 obscure et si un juste propose de blocker l'IP, tu prends l'une des 4 milliards d'autres disponibles. Pas sur que la justice puisse blocker des blocs d'IP surtout dans des environnement où ça risque de couper des services légitimes.
votre avatar
L'article ne cite pas un service particulièrement demandeur : les résolveurs DNS. Comme ceux-ci sont configurés par adresse IP et pas par nom, avoir un certificat indiquant leur adresse IP est important. (Regardez les certificats de 1.1.1.1 et 8.8.8.8.)
votre avatar
Je suis tellement content que l'on puisse crée un DNS à la sauvage et le faire certifier gratuitement... Je ne vois pas comment ça pourrait déraper...
votre avatar
Résolveur*

C'est dans la nature d'Internet d'être construit avec des briques décentralisées comme le DNS.

Un certificat TLS pour une adresse IP ne certifie en rien ton résolveur.

Quel(s) danger(s) envisages-tu ? Est-ce du pur FUD ou disposes-tu d'arguments ?
votre avatar
Le s certificats let's encrypt sont des certificats de plus en plus "de seconde zone". Avant, avoir un certificat garantissait plus souvent le sérieux. Maintenant on doit avoir des certificats plus forts.
L'existence de let's encrypt permet d'avoir du SSL sur des sites perso, et ça c'est bien. Mais cela permet à des sites sortis d'on ne sait où d'avoir un certificat (exemple: celui qui a été utilisé lors d'une attaque de phishing).
Les utilisateurs ne comprennent donc plus: avant on leur disait "attention, il faut un cadena", maintenant, que doit-on leur dire?
Solution: refuser au niveau du proxy transparent les certificats let's encrypt.
votre avatar
Il existe plusieurs types de certificats, notamment 2 qui étaient bien séparés à une époque :
- un certificat de "sécurisation" : on assure que la communication est sécurisé lorsqu'on communique avec le serveur machin (c'est ce que fait Let's encrypt). Cela évite les attaques de l'homme du milieu et les écoutes
- un certificat qui identifie : pour établie un certificat pour le domaine machin.fr, l'organisme qui fait la demande doit prouver son identité auprès de l'autorité de certificats.

Le certificat qui identifie, on devrait le voir (je dis bien, le voir, car en théorie, les sites importants ont ce type de certificats) au niveau du navigateur. La banque, les impôts, etc. Sauf que ce n'est plus le cas.

Si un CA fait mal son taf, la sentence est radicale : les navigateurs le retire, invalidant de ce fait tous les certificats.

Là où il y a eu une grosse bourde à mon avis, c'est justement qu'aujourd'hui, visuellement, il n'y a quasiment plus rien qui différencie les 2 certificats au niveau du navigateur. Et c'est ça, le problème à mon sens... Par le passé, la différence se voyait...
votre avatar
En effet, il s’agit des certificats EV (à Validation Étendue) qui sont situés sous des autorités différentes (MachinSign propose 2 certificats racines : un pour les certificats EV et un pour la plèbe les autres).

Pour la barre verte dans les navigateurs, c’était juste la liste des racines EV qui était enregistrées. Je voulais me faire un patch pour Firefox avec l’empreinte de mon certificat racine ajoutée à la liste pour avoir la classe :8 même si c’était juste sur mon PC, malheureusement j’ai trop traîné et ce n’est plus faisable puisqu’il n’y a plus de mise en valeur.
votre avatar
Tout à fait: il y a des certificats probants - et nous devons les utiliser au boulot pour plusieurs interactions (par exemple avec l'état).
votre avatar
Les certificats EV sont en effet abandonnés de facto. Ils ne servaient à rien vu que les AC faisaient plutôt moins de vérification que Let's Encrypt (juste de la paperasse).
votre avatar
Je suis étonné par ça. Dans mon ancienne boite, on a été "emmerdé" par une AC, justement à cause de ces vérifications. Ce qui n'avait pas plus à l'AC ? Que l'asso change de nom. Malgré la preuve apportée et la publication au JO.

Qui plus est, on a vu, et on voit encore, des AC être virés des navigateurs à cause de leur manquement justement.

[edit]
Ou alors, quand tu parles des AC qui faisaient moins de vérification, tu parles peut être d'un point de vue technique ? Genre vérifier qu'on est bien titulaire dudit domaine qu'on souhaite protéger ?

Il est vrai que Let's encrypt fait cette vérification. Pour les AC avec EV, je ne me souviens pas (c'était un collègue qui était en charge de ça).
votre avatar
Les certificats Let's Encrypt sont loin d'être de seconde zone. Ils représentent quasiment 60 % des sites internet mondiaux (https://w3techs.com/technologies/details/sc-letsencrypt ).

Si tu appliques ta « solution », prépare-toi à te séparer d'une bonne partie d'Internet.

D'autant plus que plein de sites de premier plan les utilisent :
wordpress.com
nsa.gov
x.com
mozilla.org
...
Depuis un moment déjà, le cadenas n'est plus gage de qualité du site, mais seulement que le site utilise un tunnel chiffré (qui, d'ailleurs, n'est pas de meilleure facture chez la concurrence payante).

Et heureusement que la sécurité de nos échanges ne soit pas accessible uniquement par des solutions exorbitantes.
votre avatar
L'idée de bloquer les certificats Let's Encrypt est assez délirante. Je suggère de plutôt bloquer le port 443, ça ira plus vite. (Je viens de voir que le ministère de la Culture utilise Let's Encrypt et il a bien raison.)
Rappelons que les soi-disant vérifications des AC pour justifier leur prix étaient bidons.
votre avatar
Probablement du FUD. La propagande en faveur des AC a toujours délibérement mélangé la sécurité du canal (ce que garantit TLS) avec la confiance qu'on peut avoir dans le destinataire. Avoir un certificat n'a jamais été une certification. Comme disait Saint-Augustin, « TLS permet de s'assurer que, lorsqu'on parle avec le diable, c'est bien le diable qui est au bout et les anges ne peuvent pas écouter. Mais cela ne garantit pas que le diable est digne de confiance. »
votre avatar
Je suis tellement content que l'on puisse crée un DNS à la sauvage et le faire certifier gratuitement... Je ne vois pas comment ça pourrait déraper...
N'importe quel grouillot peut déployer un Bind sur un serveur depuis longtemps.
votre avatar
Tout à fait. La remarque de Wosgien est très bizarre et semble indiquer qu'il ne connait pas les résolveurs DNS. Pendant longtemps, ils n'avaient pas TLS du tout (et donc la question du certificat ne se posait pas). Aujourd'hui, ils ont TLS et un certificat mais qui porte en général sur leur nom (ce qui impose de configurer nom+adresse ce qui n'est pas logique pour un résolveur DNS, mais c'est ainsi qu'Android, Windows 11 ou des logiciels comme Unbound valident le résolveur à qui ils parlent). Le certificat sur l'adresse IP permettra de simplifier le processus.
votre avatar
C'est simplement que le fait de ne pas avoir de certificat est bloquant pour beaucoup de choses, par exemple télécharger et exécuter un script, ou se faire référencer en injection sur un site qui lui est HTTPS. C'était même un petit frein pour adopter le login de l'éduc nat: ça passait par une auth sur une IP sans HTTPS (donc verrue dans la sécu pour que ce soit accepté)

Si maintenant on peut mettre des certificats sans rien débourser sur une IP, plusieurs sécus de base deviennent encore plus caduques: le moindre quinquin peut injecter ce qu'il veut comme charge à un kit de virus.

Déjà qu'on se voit obliger de bloquer des sites comme github qui servent souvent à propager des charges virales... Si maintenant ou doit absolument bloquer toute IP sans nom parce que trop faible à nos yeux... Ca va être compliqué de bosser en dev!
votre avatar
Est-ce qu'en réseau d'entreprise ça peut servir à héberger des services internes sans leur coller un nom (mais dans les entreprise t'aura un CA à toi capable de signer les noms du domaine interne, donc pareil je suis pas sûr de voir ce qu'ils y gagnent.
Je doute que Let's Encrypt distribue des certificats valident pour des plages d'IP qui ne soit pas publique, ça serait trop dangereux.
Comme tu le dis pour ce type d'usage les entreprise peuvent déjà déployer leur propre CA interne.
votre avatar
En entreprise tu génères tes propres certificats.
votre avatar
En principe, oui. Dans la vraie vie...
votre avatar
Quand même, c'est un peu la base!
votre avatar
Pour de l'interne (au sens domaine impossible à résoudre sur Internet), il me paraît difficile dans tous les cas d'utiliser Let's Encrypt. Les trois méthodes de challenges nécessitent toutes que la machine ou la zone DNS soit exposée sur Internet il me semble.

Une PKI, ça a un coût et ses contraintes (tout dépend de comment c'est intégré. De mon expérience sur les solutions de sécu : mal et peu automatisé) avec des règles de gestion qui rendent parfois difficile le cas d'usage d'un env de dev éphémère.

Résultat, on se retrouve avec des auto signés pas gérés du tout, voire expirés. :craint:

À l'ère du Cloud partout, les envs de dev ont tendance à se retrouver sur des souscriptions type sandbox où la plateforme est provisionnée puis détruite à la fin. Si la PKI n'a pas cette capacité de délivrer un certificat immédiatement (elles l'ont souvent sur l'aspect technique, mais opérationnellement t'as des SI mal organisés qui perdent du temps sur ça), le dev va se retrouver bloqué.

Résultat, tu consultes crt.sh avec un nom de domaine d'une grande entreprise et tu trouveras des Let's Encrypt.

La dette technique des DSI est abominable, et les organisations en mode produit ou "feature team" est une horreur pour ça.

Il y a par contre un cas d'usage justifié à mon sens : une URL de redirection pour un service web exposé, on ne va pas payer un certificat pour ça.
votre avatar
En streaming illégal, bonne chance pour faire connaître ton business si personne ne connaît directement ton IP
votre avatar
Moi ce que je ne comprend pas, c'est pourquoi. De ma faible compréhension des réseaux, si une ip est accessible depuis internet, elle est unique. Si je fais un cmd ping X.X.X.X.X (je suis béotien) j'obtiens une unique réponse et non pas un choix de multiple serveurs représentés par cette IP, n'est ce pas ?

Donc deux serveurs distincts d'un point de vue du réseau internet ne peuvent pas avoir la même IP, puisque celle ci est attribuée par des grosses structures internationales (je n'ai plus le nom en tête mais il y avait un article de vulgarisation sur next récemment) qui s'assurent qu'il n'y a pas de doublon.

Donc il n'est pas possible d'usurper une IP, par la construction même du réseau internet. (J'ai toujours bon ?)

Du coup, à quoi sert un certificat ?
votre avatar
Oui pour "une unique réponse"
Non pour "deux serveurs distincts ne peuvent avoir la même IP": fr.wikipedia.org Wikipedia
Les serveurs DNS utilisent ça, mais aussi sans doute les CDN.
votre avatar
Il y a de plus en plus de fonctions dans les navigateurs qui sont limités aux sites en HTTPS, par exemple l'accès à la webcam. Et ça permet que le trafic ne soit plus "en clair" sur un réseau partagé (par exemple un wi-fi public).
votre avatar
Si, il est possible d'usurper une adresse IP. IP ne fournit aucune protection contre cela (bon, il y a BCP38 https://www.bortzmeyer.org/bcp38.html mais il n'est pas déployé partout) et donc un méchant peut usurper une adresse IP. Cela est fréquemment utilisé, par exemple dans l'attaque contre la place de cryptomonnaies MyEtherWallet https://www.internetsociety.org/blog/2018/04/amazons-route-53-bgp-hijack/
votre avatar
On peut partager une IP ainsi:
* mettre un reverse proxy /routeur devant (tous tes appareils partagent l'adresse de ta box - mais tu pourrais mettre plusieurs serveurs derrière)
* affecter plusieurs nom à une IP
* faire basculer une IP automatiquement entre plusieurs serveurs (haute dispo)
* faire un load balancing avec plusieurs serveurs qui répondent à la même IP mais alternativement
* partager une IP en routant les ports (partage de l'IP entre 4 clients chez Free)
votre avatar
Pourquoi certifier une adresse IP ?
/me repense à une précédente vie et aux 50 partenaires pour les échanges inter-entreprises qui balançaient une bête IP en HTTP qui ont du se mettre en conformité avec les exigences de sécu.

(c'était il y a un an)

L'archéo-IT c'est bien plus fréquent que vous ne pouvez l'imaginer, et c'est pas lié à la taille du chiffre d'affaires :D

Bon, après, pour des use-cases personnels j'en vois moins vu qu'un nom de domaine avec un DNS dynamique c'est gérable assez facilement sans surcoût (perso j'ai ça sur Infomaniak qui est mon registar où j'ai des entrées en dur dans la zone et des entrées dynamiques sur celles rattachées à mon auto hébergement) et plus simple à retenir qu'une IP.

Pour les cas d'usage en entreprise, j'en ai vu pas mal notamment à cause du legacy.
votre avatar
Au niveau personnel, il m'est arrivé d'avoir des DHCP de loc/hôtel de vacance avec des plages trop réduites et des durées de bail trop longues. Donc pas d'IPv4 allouable car zéro dispo quasiment en permanence... alors certes on peut toujours usurper une MAC et l'IPv4 qui lui est attibuée après un coup de tcpdump mais on fout un peu la merde... alors qu'une IPv6 automatique faisait qu'on accédait sans problème à tout le web IPv6. dont sa domotique si on connaissant l'adresse... car on reçoit un mail à chaque fois qu'elle change (uniquement lors de travaux au NRO pour ma part, même si pas censée être fixe chez Orange)... en devant néanmoins mette une exception à la connexion.
votre avatar
Peux être que cela peux être utile en cas de vole de nom de domaine ou dans certaines attaques.
Si ton certificat est lié a ton NDD et ton IP publique.

Pour info j'ai mon IP full Stack de free depuis 8 ans elle n'a jamais changé, pratique puis ce que j'auto héberge mes services.
votre avatar
"Pour info j'ai mon IP full Stack de free depuis 8 ans elle n'a jamais changé, pratique puis ce que j'auto héberge mes services."

Moi j'ai juste affecté dans le DNS de mon domaine le nom DNS de ma box...
votre avatar
Pour les usages, je pense que ça adresse surtout les besoins machines2machines (qui n'ont pas forcément l'utilité d'un DNS). Et une IP ce n'est pas forcément 1 seul serveur, ça peut être un loadbalancer avec de nombreux serveurs derrières.
Et autre point : let's encrypt ce n'est pas que les service fourni en ligne, c'est tout le protocole derrière (ACME) ainsi que l'outillage et les logiciels : beaucoup d'entreprises se mettent à automatiser le chiffrement de leurs flux internes (souvent machine2amchine), ce qui est une bonne chose, et utilisent pour cela ACME et tout l'outillage et la compatibilité Let's encrypt de plein de produits sur étagère.

Ce mouvement de LE est donc peut être plus pour faire avancer les certificats automatiques en internes dans les SI, plus que proposer le service sur internet.
Rappelons que l'objectif à l'origine de l'initiative Let's Encrypt, c'était de faciliter le chiffrement et la sécurité de l'IT.
votre avatar
Un cas "technique" que je vois, même si c'est pas forcement une bonne idée.
J'ai plusieurs noms de domaine.
J'ai plusieurs services rattachés à ces domaines (mail,web,etc.)
Je m'auto-héberge.
Et au lieu d'avoir une paltanquée de certificats, un seul sur mon IP couvrirait tout.
votre avatar
Il est possible de rattacher plusieurs domaines à un seul certificat, je le fais déjà.
votre avatar
Tu peux mettre plusieurs sous-domaines dans un même certificat…
Par exemple, celui de mon domaine perso en gère 6 (agenda, mail, imap, smtp, www et sans sous-domaine).
votre avatar
Et au lieu d'avoir une paltanquée de certificats, un seul sur mon IP couvrirait tout.
Ça dépend si tu héberges tes applis avec des sous domaines, auquel cas le reverse proxy aura du mal à faire son taff.
votre avatar
Non, avoir un seul sujet (l'adresse IP) ne marcherait pas car le client TLS (le navigateur Web, par exemple), cherche dans le certificat le nom qu'on lui a donné (sinon, on dépendrait du DNS et, hélas, tout le monde n'utilise pas DNSSEC).
votre avatar
Donc définitivement pas une bonne idée.
:oops:
votre avatar
Avoir l'adresse IP mentionnée dans le certificat (la nouveauté chez Let's Encrypt) peut être une bonne idée. C'est croire que la seule adresse IP pourrait suffire comme sujet qui est une mauvaise idée.
votre avatar
Curieux de savoir avec qui collabore Let's Encrypt…
A récupérer toute la confiance du net, c'est p'tre ça le danger.
votre avatar
Ici on a une alerte si on consulte un site certifié par let's encrypt ou autre non payant/non de confiance aveugle...
votre avatar
Et ils font quoi les gens qui voient cette alerte ?
Ils partent en courant ou ils consultent quand même ?

Ton vocabulaire même est surprenant. Le site n'est pas certifié, mais il a un certificat qui sert à l'accès en TLS. Cela sécurise juste la liaison. C'est bien pour cela que les navigateurs n'affichent plus de cadenas, pour éviter de faire croire sue le site est "sûr" si tant est que ça veuille dire quelque chose?
votre avatar
Ben en fait ils arrivent en http et pas https comme ça pas de cadena... En attendant de pouvoir faire une sandbox totale pour ces sites dans un navigateur.

Le problème c'est que souvent les attaques passent par des sites en let's encrypt. Donc ils sont maintenant des certificats de seconde zone.
votre avatar
Je ne comprends rien à ce que tu racontes. Mais tu mets dans les certificats une fonction qu'ils n'ont pas j'ai l'impression.
votre avatar
J'ai l'impression, je peux me tromper, que tu confonds la qualité/sécurité du site, et le tuyau pour y accéder.
Si c'est pas du let's encrypt, ce sera le certificat fourni par ton registrar (ovh, 1&1, godaddy, etc.). Ca ne garantira rien de plus pour le visiteur.
Ca garanti juste une facture plus importante pour le propriétaire du nom de domaine.
votre avatar
@Bourrique Je suis d'accord, je mélange les deux -parce que derrière il y a 1500 utilisateurs qui ont eu ce message et l'on retenu (cadenas/pas cadenas), mais aussi parce que c'était plus facile quand les pirates ne pouvaient pas tous chiffrer les flux.
Et sinon, oui, au boulot internet est pas mal coupé...
votre avatar
C'est écrit dans l'article, qui les supervise, c'est l'Internet Security Research Group. en.wikipedia.org Wikipedia
votre avatar
Curieux de savoir avec qui collabore Let's Encrypt…
Le certificat de next.ink est un Let's Encrypt.
votre avatar
Juste ma parano de ne pas se faire éblouir par les services américains (/étrangers) qui embarque des features legal avec les features tech mises en avant.
Et comme on parle d'un service pour afficher une meilleure confiance je trouve intéressant de se questionner.

Let’s Encrypt teste un certificat gratuit pour les adresses IP

  • Pourquoi certifier une adresse IP ?

  • Adaptations techniques

Fermer