Après le 1er mai 2019, tous les certificats publics comportant des caractères de soulignement seront révoqués. Vos certificats seront-ils conformes ?
Le 10 novembre 2018, le Certification Authority Browser Forum (CA/B) a adopté le vote SC12 qui mettra fin à l'utilisation des traits de soulignement ("_") dans l'entrée dNSName de l'extension de nom alternative du sujet (SAN) des certificats enracinés publiquement.
Cette modification prendra pleinement effet le 1er mai 2019, date à laquelle plus aucun certificat accessible au public ne pourra comporter de caractères de soulignement dans le SAN.
Avant le 15 janvier 2019, tous les certificats enracinés publiquement qui contiennent un trait de soulignement et dont la période de validité est supérieure à 30 jours seront révoqués. Toutefois, avant le 1er avril 2019, les certificats contenant des caractères de soulignement dans l'entrée dNSName du SAN pourront être délivrés aux conditions suivantes :
- Les entrées dNSName peuvent inclure des caractères de soulignement, de sorte que le remplacement de tous les caractères de soulignement par des caractères de trait d'union donnerait une étiquette de domaine valide.
- Les caractères de soulignement ne doivent pas être placés dans l'étiquette de domaine la plus à gauche.
- La durée de validité des certificats ne doit pas dépasser 30 jours.
Pourquoi révoquer les certificats contenant des caractères non accentués dans le SAN ?
CA/B a voté en faveur du changement pour se conformer à la RFC 5280, Annexe B. ASN.1 Notes, qui stipule :
"Les implémenteurs doivent noter que le signe "@" et les caractères "_" ne sont pas pris en charge par le type ASN.1 PrintableString... Les implémentations conformes NE DOIVENT PAS encoder les chaînes de caractères qui incluent les caractères "@" ou "_" en tant que PrintableString".
Auparavant, les AC tierces n'étaient pas conformes à la RFC 5280 et les mesures précédentes visant à imposer cette conformité n'avaient pas été adoptées à la majorité. Les AC tierces étant désormais conformes, les informations du certificat public SAN suivront désormais un format plus cohérent et prévisible.
Ce que cela signifie pour les certificats à racine publique
Si une entreprise possède actuellement des certificats publiquement enracinés qui ont un caractère de soulignement dans le SAN dNSName, ce certificat doit être remplacé.
Cette modification ne s'applique qu'aux certificats publics. Elle n'affectera pas les certificats internes PKI émis par les autorités de certification de Microsoft.
Chaque AC tierce partie de confiance (Entrust, Comodo, DigiCert, etc.) est responsable de la communication des changements et de la facilitation des remplacements avec leurs clients. Entrust a déclaré qu'elle révoquerait tous les certificats comportant un trait de soulignement et dont la période de validité est supérieure à 30 jours à compter du 14 janvier 2019.
Comment s'assurer de la conformité de votre certificat public
La meilleure méthode pour trouver et mettre à jour les certificats publics non conformes consiste à utiliser une solution de gestion des certificats software telle que Keyfactor Command.
Keyfactor Command analysera l'environnement d'une entreprise et importera chaque certificat de tiers dans une console de gestion centralisée où chaque certificat non conforme peut être organisé dans une collection. À l'aide de cette collection, Keyfactor Command remplacera automatiquement chaque certificat non conforme par un certificat conforme du fournisseur de l'autorité de certification tierce avec les passerelles de l'autorité de certification tierce.
Pour les certificats internes, une adresse Microsoft CA n'empêchera pas l'utilisation de caractères non conformes et ne dispose d'aucun mécanisme pour empêcher leur utilisation. Keyfactor Command empêchera les demandes de certificat contenant des caractères non conformes et appliquera d'autres normes industrielles telles que la RFC 2818.
Résumé
Ce changement a été effectué pour rester conforme à la RFC 5280 et a déjà commencé à être appliqué. La mise en œuvre complète entrera en vigueur le 1er mai 2019 et les émetteurs tiers communiqueront les prochaines étapes à leurs clients.
Cependant, même avec les avis des vendeurs tiers, trouver et remplacer les certificats non conformes à la main est une tâche difficile sans software comme Keyfactor Command .
Tout certificat public non conforme sera révoqué avant le15 janvier et si un seul certificat n'est pas remplacé, des pannes pourraient se produire.
Il est également important de noter que les caractères de soulignement seront toujours autorisés par les autorités de certification internes de Microsoft et la gestion des certificats par des tiers software, comme Keyfactor Command , est nécessaire pour empêcher l'utilisation de caractères non conformes à la RFC 5280.