Grâce à l’outil Certbot, Let’s Encrypt est désormais capable de délivrer des certificats valides à des adresses IP, même si ces certificats TLS ont une particularité : une durée de vie de 6 jours. Focus sur les nouveautés et l’utilisation de cette nouveauté.

Certbot capable d’obtenir des certificats pour les adresses IP

Depuis le début de l’année 2026, plusieurs versions de Certbot ont été publiées en réponse à une volonté de Let’s Encrypt. Celle de pouvoir émettre des certificats à courte durée de vie pour les adresses IP. En effet, ces certificats ont une durée de vie de 6 jours. Ce n’est pas un hasard, c’est une décision prise par Let’s Encrypt vis-à-vis de la particularité de ces certificats (les adresses IP ont un caractère plus éphémère que les noms de domaine).

Tout d’abord, la version 4.0 de Certbot a permis d’introduire l’option , puis la version 5.3 publiée le 3 février 2026 a permis d’ajouter le paramètre . Ce second paramètre permet de demander des certificats avec des SAN d’adresse IP lors de l’utilisation du plugin standalone ou manuel. Il doit être utilisé conjointement avec le premier paramètre de cette façon : .

Cependant, pour tirer pleinement parti de cette nouveauté, il manque un mode compatible avec les adresses IP. C’est désormais possible, suite à la sortie de Certbot 5.4, le mardi 10 mars 2026.

Comment obtenir un certificat pour une adresse IP ?

Je n’ai pas encore pris le temps de tester, mais l’article publié par Let’s Encrypt propose un exemple d’utilisation. Pour générer votre premier certificat pour une adresse IP via Let’s Encrypt, utilisez la commande suivante (en mode staging pour faire un test dans un premier temps, puis vous le retirez ensuite) :

Une fois vos tests techniques validés, il vous suffira de retirer le flag pour obtenir un certificat valide.

Côté intégration, il y a encore des améliorations à prévoir. En effet, comme l’explique Jacob Hoffman-Andrews : “Pour l’instant, Certbot prend uniquement en charge l’obtention de certificats d’adresse IP, mais pas encore leur installation sur votre serveur web. Il y a encore du travail à venir sur ce front.”

Autrement dit, les plugins de configuration automatiques pour des serveurs comme Nginx ou Apache ne gèrent pas encore cette nouveauté. Voici donc ce qu’il faut prendre en considération pour l’implémentation :

• Génération via des modes alternatifs :

Si l’approche ne vous convient pas, sachez que Certbot supporte les adresses IP via le plugin (qui met en pause l’outil le temps que vous placiez le fichier de challenge ou exécute un script tiers) ainsi que le plugin (qui lance un serveur web temporaire sur le port 80).

• Configuration manuelle :

Vous devrez modifier vous-même la configuration de votre serveur (VirtualHost, block server, etc.) pour pointer vers les nouveaux certificats, généralement situés dans et . Ce sont les chemins habituels avec Let’s Encrypt.

• Le défi du renouvellement :

Avec une durée de vie de seulement 6 jours, le renouvellement manuel est ingérable… Sauf si vous n’avez pas grand-chose à faire.

Le problème : les serveurs web ne sont pas encore autonomes avec ces nouveaux certificats. Une astuce existe, comme l’explique Let’s Encrypt : “Vous devrez définir un –deploy-hook qui indique à votre serveur web de charger les certificats les plus récents à partir du disque.”

Qu’en pensez-vous ?

Source