Depuis 2015, Let’s Encrypt, l’autorité de certification open source qui démocratise le HTTPS, délivrait uniquement des certificats pour des noms de domaine. Mais c’est désormais chose faite : elle a émis le 1er juillet 2025 son tout premier certificat pour une adresse IP, une fonctionnalité très attendue par une partie de la communauté tech.
Jusqu’ici, seuls quelques acteurs proposaient cette possibilité, car les certificats IP posent des contraintes techniques et organisationnelles spécifiques. Let’s Encrypt, fidèle à sa feuille de route annoncée en janvier dernier, commence à ouvrir cette fonctionnalité progressivement à ses utilisateurs.
Pourquoi un certificat IP ?
Dans la plupart des cas, les certificats SSL/TLS sont liés à des noms de domaine, car c’est ce que les navigateurs et les utilisateurs connaissent. Pourtant, certains cas d’usage légitimes existent pour les adresses IP :
- sécuriser un service d’infrastructure (DNS over HTTPS, services internes, etc.)
- afficher une page par défaut lorsqu’on saisit directement l’IP d’un serveur dans un navigateur
- protéger des objets connectés ou des serveurs sans nom de domaine
- sécuriser des échanges temporaires entre serveurs cloud disposant uniquement d’une IP publique.
Ces certificats sont surtout utiles pour des usages techniques, souvent dans des contextes automatisés ou internes.
Des certificats courts et une validation différente
Let’s Encrypt pose cependant des limites claires : ces certificats pour IP sont valables uniquement six jours et nécessitent des clients compatibles avec le profil ACME court-lived. La validation de contrôle ne passe pas par DNS, mais par les challenges http-01 ou tls-alpn-01, qui prouvent que l’utilisateur contrôle bien l’IP.
Pour l’instant, ces certificats sont disponibles dans l’environnement de test (Staging) de Let’s Encrypt. Leur généralisation en production est prévue plus tard en 2025, lorsque les certificats courts deviendront accessibles à tous.
Let’s Encrypt rappelle que pour la majorité des sites et services web, un certificat classique basé sur un nom de domaine reste la meilleure solution. Mais pour les cas spécifiques d’accès par IP directe, cette avancée offre désormais une option open source et gratuite
