Il y a quelques mois, s’est tenu un débat avec les acteurs sectoriels sur la durée de validité idéale des certificats SSL/TLS. Au terme de discussions animées lors du CA/B Forum, les autorités de certification ont voté contre la proposition de Google de réduire à un an la durée de validité maximale.
Lors de la réunion du CA/B Forum qui s’est tenue en février dernier à Bratislava, en Slovaquie, Apple a fait part de son intention de limiter la validité des certificats SSL/TLS à 398 jours (soit un an et un mois afin de faciliter les renouvellements).
Un décryptage s’impose et nous avons pensé qu’il pouvait être utile d’exposer notre point de vue le plus clairement possible pour les milieux d’affaires.
Vous n’avez pas besoin de remplacer vos certificats SSL/TLS
Cette décision n’aura pas d’impact sur les consommateurs avant le 1er septembre 2020. À compter de cette date, la validité des certificats SSL/TLS émis ne pourra excéder 398 jours. Au-delà de cette durée, ils ne seront pas considérés comme fiables par les systèmes d’exploitation Apple (Mac OS et iOS) — tous les utilisateurs de Safari sont donc concernés. En outre, compte tenu des souhaits précédemment exprimés par Google et Mozilla de raccourcir la validité des certificats, ceux-ci emboîteront également le pas à Apple en appliquant probablement les mêmes dates butoirs.
Qu’est-ce que cela signifie pour vous ? Et bien, à compter du 1er septembre, si vous voulez que votre site Internet fonctionne pour les utilisateurs Apple, vous ne pourrez plus choisir un certificat d’une validité de deux ans. Vous devrez également remplacer vos certificats ou organiser des rotations plus fréquentes que par le passé.
Précisons toutefois, et c’est important, qu’il n’y a pas lieu de vous précipiter pour obtenir de nouveau certificat AVANT le 1er septembre. Les certificats SSL/TLS qui ont été émis de manière valable aujourd’hui resteront valides jusqu’à leur date d’expiration. C’est au moment du renouvellement que vous devrez opter pour un certificat d’une validité d’un an.
Vous pouvez donc ignorer tous ceux qui vous enjoindront à remplacer votre certificat maintenant.
Puis on arriva à un… an
Les éditeurs de navigateurs ont longtemps déclaré préférer les périodes de validité plus courtes pour les certificats de confiance publique. En théorie une validité plus courte est un gage de sécurité accrue, la durée d’exposition aux menaces étant réduite en cas de compromission de la clé privée, et les vérifications d’identité étant plus fréquentes en cas de modifications des éléments d’identité dans le certificat SSL (organisation, noms, adresses et domaines actifs).
N’oubliez pas que le principal objectif affiché de ces navigateurs est la protection de leurs utilisateurs. Et le détournement de certificats de confiance publique peut être dangereux. Souvenez-vous qu’à un moment, la durée de validité maximale était de cinq ans. Puis trois. Puis deux. Et maintenant un an. Elle pourrait finalement être réduite à 90 jours, voire 30 jours. Or, une telle réduction de la durée de validité est presque exclusivement dictée par les éditeurs de navigateurs.
Pourquoi le précédent scrutin du CA/B Forum s’est-il soldé par un échec ?
Le dernier scrutin a échoué principalement pour des raisons de calendrier. Comme d’autres AC, GlobalSign a consulté directement ses clients pour leur demander leur avis. Et nous n’avons pas noté d’engouement particulier pour une durée de vie raccourcie, et ce, pour plusieurs raisons.
Dans sa proposition, Google voulait que le changement soit mis en place avant le 1er avril, soit moins de six mois avant la date du vote — un délai tout simplement insuffisant. Il a donc été demandé de fixer une date dans les 12 à 18 mois à venir, afin de laisser à chacun le temps de se préparer aux changements.
Apple semble avoir choisi de couper la poire en deux, en visant le mois de septembre.
Quelle est la position de GlobalSign concernant une durée de vie raccourcie pour les certificats ?
Chez GlobalSign, nos clients et nos partenaires passent en premier — c’est ce qui motive chacune de nos décisions. Nous nous employons en même temps à améliorer Internet pour en faire un lieu d’interactions sociales et de transactions commerciales plus sûr.
Du point de vue de la sécurité, il est parfois préférable d’avoir une période de validité plus courte, même si les éditeurs de navigateurs n’ont pas justifié concrètement leur démarche en listant sérieusement les problèmes de sécurité liés à l’utilisation de certificats d’une validité de deux ans. Avec une analyse correcte de la sécurité des certificats de deux ans et de leurs vulnérabilités, et un calendrier de mise en œuvre des changements plus raisonnable, GlobalSign soutiendrait le passage à des certificats d’un an. Mais si les éditeurs de navigateurs poursuivent un objectif spécifique, certes pertinent au regard de leur activité, nous avons, en tant qu’autorités de certification, également nos objectifs.
Depuis plus de 15 ans, GlobalSign est un leader dans le domaine des infrastructures à clé publique (PKI). Si vous avez des questions ou souhaitez savoir comment nous pouvons vous faciliter la tâche pour instaurer des rotations de certificats plus fréquentes, n’hésitez pas à nous contacter.