SSL/TLS Les certificats émis par des autorités de certification (AC) de confiance, qu'elles soient publiques ou privées, sont utilisés pour authentifier un seul domaine dans les sites web publics. Les organisations possédant une poignée de domaines et sous-domaines publics devraient émettre et gérer un nombre égal de certificats numériques, ce qui accroîtrait la complexité de la gestion du cycle de vie des certificats. La bonne nouvelle, c'est qu'il existe une solution pour éviter ce fardeau.
Les certificats Wildcard promettent la simplicité, mais sont-ils la solution à toutes nos prières ?
TLS les certificats ont de nombreuses fonctions. Principalement, ils permettent des sessions cryptées entre les clients et les sites web et prouvent que le site n'est pas un imposteur malveillant. Une bonne pratique de sécurité consiste à renouveler fréquemment les paires de clés, ce qui devrait se faire à chaque fois que vous obtenez un nouveau certificat.
Depuis 2005, le CA/B Forum établit les règles d'émission, de gestion et de validation des certificats TLS . Cette organisation bénévole est composée de deux groupes :
- Autorités de certification (AC ) - telles que IdenTrust, DigiCert et GoDaddy ;
- Les développeurs de navigateurs - tels que Google, Apple, Microsoft et Mozilla.
Les navigateurs et les AC discutent et votent généralement sur les propositions de règles jusqu'à ce qu'ils parviennent à un accord majoritaire, puis tous les membres appliquent la règle finale.
Malgré la décision du forum CA/B de ne pas limiter la durée de vie des certificats à un an, Apple a pris une décision unilatérale en février pour limiter la durée de vie des certificats TLS acceptés à seulement 398 jours, à partir du 1er septembre.
Google et Mozilla s'associent à la décision d'Apple
Chrome rejoint Apple en limitant les certificats publics TLS à 398 jours à partir du 1er septembre.
- Dean Coclin (@chosensecurity) 10 juin 2020
Il semble que les navigateurs aient gagné cette manche. Le 9 juillet 2020, le Mozilla Security Blog a publié qu'il réduirait également la durée de vie des certificats TLS à 398 jours. Ainsi, à compter du 1er septembre 2020, Mozilla, Google et Apple ne feront plus confiance aux certificats nouvellement émis dont la durée de vie est supérieure à 398 jours.
Les projecteurs sont désormais braqués sur Microsoft, qui devrait bientôt se prononcer sur la question. Il ne faut toutefois pas oublier que Microsoft Edge utilise Chromium comme moteur de navigation.
Quoi qu'il en soit, les principaux fournisseurs d'AC publiques se sont rapidement adaptés, ne proposant plus de certificats publics TLS d'une durée de deux ans. Après tout, ils n'ont pas vraiment le choix, la grande majorité des internautes optant pour les navigateurs Chrome et Safari.
Mozilla a exprimé sa conviction que ce changement est crucial pour maintenir un web sécurisé :
- Favorise une plus grande agilité cryptographique, car les certificats vulnérables seront automatiquement supprimés en moins de temps.
- Limite la vulnérabilité d'un site web à l'intrusion car les clés de cryptage privées seront périodiquement forcées de se mettre à jour.
- Dans le cas des certificats TLS volés, la durée d'utilisation par un acteur de la menace serait limitée par une validité d'un an.
- Empêche les hébergeurs ou les tiers de continuer à utiliser les certificats même après qu'un service web a changé de fournisseur ou n'utilise plus activement le certificat.
Il est vrai qu'une clé compromise peut permettre à un pirate d'intercepter des communications sécurisées et/ou d'usurper l'identité d'un site web jusqu'à ce que le certificat TLS expire. Cependant, les abonnés aux certificats oublient souvent comment ou quand remplacer les certificats, ce qui entraîne des interruptions de service dues à une expiration inattendue.
Bien que cela vise à rendre tout le monde plus sûr, si votre processus de gestion interne n'exploite pas l'automatisation des certificats, votre entreprise peut en fait devenir moins sûre et plus sujette aux pannes. Si vous utilisez encore des processus manuels (par exemple des feuilles de calcul) pour gérer ces certificats, votre charge de travail a pratiquement doublé du jour au lendemain. Cette augmentation de la charge de travail multiplie également les possibilités de mauvaise configuration de ces certificats.
Les certificats expirés constituent un problème majeur
Ils coûtent chaque année des millions de dollars aux entreprises en raison des pannes. En outre, des avertissements plus fréquents concernant les certificats expirés peuvent inciter les visiteurs du site web à contourner les messages d'erreur.
En outre, la réduction significative de la période de validité entraînera une augmentation de la fréquence d'émission des certificats. Cela entraînera des augmentations substantielles des frais annuels pour les consommateurs de certificats en raison de l'augmentation des coûts pour les entreprises qui maintiennent les certificats (en particulier pour les certificats OV et EV).
Il s'agit principalement des effets à long terme de ce changement, mais les CA, les propriétaires de sites web et même les utilisateurs finaux pourraient être affectés immédiatement après le changement du 1er septembre.
Pour les utilisateurs finaux
Cela signifie que certains sites web et applications pourraient cesser de fonctionner comme prévu sur les applications Apple, Google et Mozilla si les entreprises qui les exploitent ne sont pas prêtes à gérer le renouvellement plus fréquent des certificats pour maintenir leurs services en état de marche.
Pour les entreprises
À l'avenir, votre fournisseur d'autorité de certification ne proposera plus de certificats publics TLS d'une durée de deux ans. Si vous ne vous préparez pas à la réduction du cycle de vie des certificats, les visiteurs de votre site web recevront un message d'erreur, ce qui aura un impact immédiat sur votre marque et vos revenus.
Mozilla Firefox - message de site web non sécurisé
Google Chrome - message de site web non sécurisé
Apple Safari - message de site web non sécurisé
Faut-il remplacer les certificats de deux ans délivrés sur le site TLS par des certificats d'un an ?
Ce changement s'applique uniquement aux nouveaux certificats TLS émis à partir du 1er septembre 2020. Les certificats émis précédemment et dont la durée de vie est de deux ans ne seront pas concernés et vous pourrez continuer à les utiliser jusqu'à leur date d'expiration initiale. Cependant, tous les certificats émis après le 1er septembre 2020 seront valables pour une durée maximale d'un an.
Qu'est-ce que cela signifie pour les propriétaires de sites web sécurisés TLS ?
Cela entraînera une augmentation des frais administratifs, car les administrateurs de sites web devront surveiller de plus près les dates de renouvellement, car les certificats expireront plus fréquemment. Pour les entreprises qui hébergent de nombreux sites web, cela peut constituer un problème majeur jusqu'à ce que des procédures automatisées soient mises en œuvre ou modifiées.
Quelques bonnes nouvelles
Vous pourrez toujours acheter des plans d'abonnement pluriannuels. Les autorités de certification (AC) commerciales mettent en place de tels plans pour permettre à leurs clients de continuer à bénéficier de réductions pluriannuelles après les changements du 1er septembre. En principe, plus le nombre d'années d'abonnement est élevé, plus la réduction annuelle est importante. Cela pourrait permettre de réduire les coûts des certificats à long terme ; cependant, vous devrez toujours redéployer vos certificats chaque année avant qu'ils n'expirent.
