Mise à jour du 18 novembre 2024 : Suite à de nouvelles discussions dans le forum CA/Browser et aux commentaires de la communauté, la proposition d'Apple de raccourcir les périodes de validité des certificats TLS a été modifiée. Tout d'abord, la durée de validité maximale finale a été légèrement augmentée, passant de 45 à 47 jours. Il s'agit d'une petite augmentation, mais qui suggère qu'il y aura probablement d'autres discussions avant qu'un calendrier ferme ne soit établi. Les dates proposées pour la mise en œuvre des réductions ont également été modifiées, repoussant ainsi la date d'entrée en vigueur de la réduction de la durée de validité.
Les nouvelles dates sont les suivantes
- 200 jours à compter du 15 mars 2026,
- 100 jours à compter du 15 mars 2027,
- 47 jours à compter du 15 mars 2028.
Ces dernières années, les périodes de validité des certificats SSL/TLS ont été considérablement réduites, et la dernière décision d'Apple marque un changement important dans la façon dont les certificats seront bientôt gérés. Cette tendance s'est amorcée avec l'initiative de Google de réduire la durée de vie des certificats à 90 jours, dans le but de renforcer la sécurité et de réduire les risques de compromission des certificats. Cependant, la semaine dernière, Apple a fait les gros titres de la sécurité numérique en introduisant un projet de vote visant à réduire la période de validité maximale des certificats SSL/TLS publics à seulement 47 jours d'ici à 2027. Cette mesure, dévoilée lors des réunions du CA/Browser Forum, s'inscrit dans le cadre des efforts déployés par les principaux navigateurs, dont Google, pour renforcer la sécurité sur le web en réduisant la durée de vie des certificats.
La pression pour des certificats de 47 jours
Actuellement, la norme pour les certificats publics est de 398 jours maximum. Toutefois, la proposition d'Apple établit une feuille de route pour réduire progressivement cette durée, avec des étapes importantes en 2025, 2026, pour finalement atteindre un maximum de 47 jours en avril 2027. La proposition comprend également une réduction de la période de réutilisation de la validation du contrôle du domaine (DCV), qui se réduira à seulement 10 jours d'ici septembre 2027.
Réduire la durée de vie des certificats à 47 jours est considéré comme une meilleure pratique selon Apple. En réduisant la durée de validité d'un certificat, les risques de compromission pourraient se réduire considérablement. L'évolution du secteur vers des cycles de vie plus courts oblige les organisations à rester vigilantes quant à la gestion de leurs certificats, ce qui réduit la probabilité de violations causées par des certificats périmés ou mal émis.
Le défi pour les équipes informatiques
Cette tendance correspond également à l'adoption croissante d'outils d'automatisation, qui sont essentiels pour gérer les renouvellements de certificats plus fréquents exigeant des périodes de validité plus courtes. ACME (Automated Certificate Management Environment) est apparu comme un outil crucial dans ce contexte, en particulier pour les petites et moyennes entreprises (PME).
Si la réduction de la durée de validité des certificats présente des avantages évidents sur le plan de la sécurité, elle pose également des problèmes opérationnels importants. Les organisations qui utilisent des méthodes manuelles pour le suivi et le renouvellement des certificats peuvent se sentir dépassées par les renouvellements plus fréquents. Pour les équipes informatiques débordées, jongler avec des certificats dont les dates d'expiration varient peut entraîner un risque accru de perturbation des services par des certificats expirés.
Grâce à ACME, les entreprises peuvent automatiser l'émission, l'installation et le renouvellement des certificats, ce qui garantit que même avec le cycle raccourci de 47 jours, les certificats sont mis à jour sans intervention manuelle. Cette solution est particulièrement avantageuse pour les petites entreprises qui manquent souvent de ressources ou de temps pour gérer manuellement les certificats, mais qui doivent néanmoins se conformer aux normes de sécurité les plus récentes et éviter les interruptions de service dues à l'expiration des certificats.
Si le passage à des certificats de 47 jours d'ici 2027 peut sembler difficile, en particulier pour les petites entreprises, des outils d'automatisation tels qu'ACME le rendent réalisable. En adoptant ACME et des solutions automatisées similaires telles que Certificate Automation Manager pour nos clients Entreprise, les organisations qui mettent en œuvre ces solutions dès maintenant seront bien préparées pour l'avenir de la sécurité web et pourront éviter les pièges de la gestion manuelle des certificats.
Les organisations qui mettent en œuvre ces solutions dès maintenant seront bien préparées pour l'avenir de la sécurité web et pourront éviter les pièges de la gestion manuelle des certificats.
Editor’s Note: This blog was originally published on October 16th 2024 but has since been updated to reflect industry changes and new insights.