À partir du 1er septembre, les certificats SSL/TLS ne pourront plus être émis pour une durée supérieure à 13 mois (397 jours). C’est le changement annoncé par Apple lors de la réunion du CA/Browser Forum à Bratislava en mars dernier.
Google lui a emboîté le pas il y a deux semaines à l’occasion de la réunion estivale du CA/Browser Forum organisée en ligne en annonçant son intention de modifier son propre programme racine sur la base des changements d’Apple.
Les éditeurs de navigateurs poussent également une proposition visant à aligner les exigences de base du secteur avec les nouveaux changements apportés aux programmes racines. Cette question est actuellement débattue par les membres du CA/B Forum.
Cela fait sans doute beaucoup d’informations à dépiler aussi, pour clarifier les choses, nous évoquerons ces sujets dans cet article de blog.
Pourquoi réduire la durée de vie des certificats SSL/TLS ?
Globalement, et d’un point de vue théorique, les certificats de courte durée présentent deux principaux avantages :
Tout d’abord, sur le plan technique, avec une durée de vie plus longue, les déploiements organiques des mises à jour ou des changements prennent plus de temps. C’est notamment ce qu’il s’est passé lorsque l’on est passé d’un chiffrement SHA1 à SHA2. À moins de révoquer des tonnes de certificats et d’obliger le client à en émettre de nouveaux, il peut s’écouler plusieurs années avant que les anciens certificats soient tous remplacés. Dans le cas du SHA1, il a fallu trois ans. Sans compter le fait que cela génère un risque.
Autre avantage : l’identité. Pendant combien de temps les informations utilisées pour valider une identité restent-elles fiables ? Plus l’intervalle entre les validations est long, plus le risque est grand. Pour Google, dans un monde idéal il faudrait une validation des domaines toutes les six heures environ.
Avant 2015, on pouvait obtenir un certificat SSL/TLS émis pour une durée maximale de cinq ans. Ce chiffre a été réduit à trois ans, puis à deux en 2018. Fin 2019, une proposition faite au CA/B Forum aurait ramené cette durée à un an — ce que les Autorités de certification (AC) ont rejeté en bloc.
Alors, pourquoi réduire encore la durée de vie des certificats à un an ?
Le CA/B Forum est un consortium sectoriel qui se réunit pour voter sur des exigences de base applicables à l’émission de certificats numériques de confiance. Il ne s’agit toutefois pas d’une instance dirigeante. Malgré les inquiétudes et les réticences exprimées par les AC au sujet d’une nouvelle réduction de la validité maximale des certificats, Apple et Google sont en droit de mettre à jour les politiques de leurs programmes de racines comme ils l’entendent.
Mais trêve de termes techniques, prenons quelques instants pour clarifier ce dernier paragraphe.
Autorités de certification et éditeurs de navigateurs entretiennent une relation d’interdépendance. Les navigateurs s’appuient sur les certificats pour décider s’ils peuvent faire confiance à tel ou tel site web — et contribuent ainsi à sécuriser les connexions aux sites. Côté AC, quelle est l’utilité d’un certificat public s’il n’a pas la confiance d’un navigateur ?
Tout cela est géré par les programmes de racines. Il existe quatre grands programmes de racines :
- Microsoft
- Apple
- Mozilla
- Google (les deux derniers répondant au doux nom de Googzilla ;-))
On retrouve d’ailleurs ces quatre sociétés derrière les principaux navigateurs, ordinateurs de bureau et terminaux mobiles. Pour qu’une AC obtienne que ses certificats soient jugés fiables par les programmes de racines, et a fortiori par les navigateurs et les systèmes d’exploitation qui les utilisent, elle doit adhérer aux consignes dudit programme racine. Le CA/B Forum est un consortium sectoriel qui devrait, à l’idéal, faciliter les changements à apporter aux programmes racines (et à l’écosystème lui-même).
Mais reste que les programmes de racines, qui participent en tant qu’éditeurs de navigateurs, peuvent agir de manière unilatérale et apporter les modifications qu’ils jugent nécessaires. Dans un tel cas, les impératifs d’interopérabilité font que la politique du programme racine ayant les normes les plus strictes devient, de facto, la nouvelle exigence de base.
Voici comment nous en sommes arrivés là. Venons-en maintenant aux conséquences pour votre site web.
Que signifie une validité plus courte d’un certificat SSL/TLS pour les propriétaires de sites web ?
Tout d’abord, cette mesure entre en vigueur le 1er septembre 2020. Par conséquent, si vous utilisez un certificat de deux ans émis avant un 1er septembre, votre certificat restera valide jusqu’à sa date d’expiration initiale. Mais par la suite, vous ne pourrez plus le renouveler pour une durée de deux ans.
En d’autres termes, vous avez jusqu’au 1er septembre pour obtenir des certificats de deux ans. Au-delà de cette date, il n’y aura plus moyen de s’en procurer. Ils seront relégués aux oubliettes, comme bien d’autres déchets numériques.
Plus globalement, c’est peut-être le bon moment d’envisager une gestion automatisée de vos certificats avec des fonctions de gestion du cycle de vie étendues. L’automatisation est particulièrement adaptée aux grands groupes qui gèrent des dizaines de certificats de confiance pour des sites Internet, mais pas seulement. Les entreprises qui utilisent des certificats de confiance publique pour leurs e-mails, et celles qui utilisent une AC privée ou des signatures électroniques basées sur une infrastructure à clés publiques (PKI) y trouveront aussi des avantages. Autre idée : pourquoi ne pas transférer certains certificats d’une racine de confiance publique vers une confiance privée pour gérer plus facilement vos certificats ? La méthode pourrait aussi vous permettre d’émettre des certificats d’une durée de validité supérieure.
Étant donné la pression exercée par les programmes de racines pour réduire la durée de validité, les entreprises n’auront d’autre choix, le moment venu, que d’automatiser une grande partie de ces opérations.
Mieux vaut y réfléchir maintenant plutôt que d’attendre d’être le dos au mur.
Comment GlobalSign va-t-il gérer les certificats d’un an ?
Pour simplifier les choses — et rendre le processus le plus aisé possible — GlobalSign assortira ses certificats SSL/TLS d’une validité maximale de 397 jours pour les commandes de certificats d’un an passées dès le 31 août. Cela s’applique aux nouvelles commandes et aux renouvellements, afin d’offrir à nos clients la durée de validité la plus longue possible.
Certes, vous devrez toujours renouveler vos certificats avant leur expiration, et comme nous ne pouvons plus vous accorder les 90 jours de validité supplémentaire, nous vous recommandons de les renouveler dans un délai maximum de 30 jours avant leur expiration.
Et si je dois réémettre mes certificats ?
Vous devez réémettre des certificats pour mettre à jour l'algorithme de chiffrement ou le niveau de chiffrement du certificat SSL ou d’autres raisons techniques ? Vous vous demandez ce qu’il se passe lorsque vous réémettez un de vos certificats d’une validité de deux ans après l’entrée en application de ce changement ? Soyez rassuré ! En effet, si vous réémettez un certificat et que vous perdez sa validité restante (car nous sommes tenus de limiter la validité à 397 jours), vous pourrez réémettre le certificat plus tard — idéalement moins de 397 jours avant l’expiration du certificat d’origine — et récupérer la validité perdue lors de la première réémission ! C’est la même chose qu’en 2018, lorsque nous sommes passés d’une validité maximale de trois ans à deux ans.
Le processus de réémission des certificats à validation étendue (EV) diffère cependant légèrement à cause des consignes pour la validation étendue (EVGL, Extended Validation Guidelines) et des exigences applicables à la réémission de ces certificats EV. Même si vous pouvez toujours réémettre vos certificats, ils seront mis en attente pour être examinés manuellement afin que nous puissions vérifier que toutes les validations sont à jour avant de les émettre.
Pour toute question concernant les conséquences de ces changements pour votre entreprise ou votre site web, n’hésitez pas à nous contacter.
Comme toujours, nous continuerons à vous tenir au courant de l’évolution de la situation.