Apple ne fera confiance qu'aux certificats d'un an

17 mars 2020 | Bianca Cordonnier

La limitation de la durée de validité des certificats TLS précédemment déclarée devient une réalité. La décision prise par Apple est d'importance : à partir du 1er septembre 2020, les produits d'Apple ne feront plus confiance aux certificats nouvellement émis valables plus d'un an. Qu'est ce que cela signifie ?

Que se passe-t-il et pourquoi

Le raccourcissement de la durée de validité des certificats TLS reflète une tendance continue et fait suite à un échec du vote du CA/Browser Forum sur les certificats d’un an (bulletin SC22), qui s’est tenu en août 2019. La difficulté liée aux remplacements fréquents des certificats était l'argument principal de l'opposition. Les autorités de certification ont publié les retours des clients reçus dans les questionnaires sur l'impact réel du changement.

Le changement, annoncé par Apple lors de la réunion CA/Browser Forum à Bratislava, en Slovaquie, entrera en vigueur pour les certificats émis après le 31 août 2020. Jusqu'au 1er septembre 2020, vous pouvez prolonger vos certificat TLS pour deux ans et ils seront valables pour les produits Apple. Après cette date, Apple ne fera confiance qu'aux certificats TLS avec une validité maximale de 398 jours (1 an + une période de renouvellement).

Cette mesure a été prise pour encore augmenter la sécurité. Plus la période de validité d’un certificat est courte, plus le certificat est sûr. Un porte-parole d'Apple s'est exprimé qu'il s'agit effectivement de protéger les utilisateurs. Cet argument est utilisé par tous les éditeurs de navigateurs web qui demandent la validité des certificats SSL plus courte.

Dans la pratique, l'hypothèse de la sécurité accrue forcée par une validité plus courte des certificats reste ambiguë. Pour l'impact positif de ce changement, il faut partir du principe que tous les certificats soient réémis après un an, avec une nouvelle requête et que la clé privée soit échangée sur le serveur. Ce n'est pas un problème avec des solutions PKI entièrement automatisés et cela se produit déjà. Par contre, pour les serveurs et systèmes administrés manuellement, cela va être plus compliqué, car les administrateurs ne seront pas toujours prêts à changer de clé, peut-être, au contraire, cela peut contribuer à une plus grande réticence et apathie. Pour un propriétaire de site web non professionnel, cela augmente les coûts de gestion et ajoute du travail à son administrateur.

Qu'est ce que nous attend ?

Compte tenu de l'historique de la durée de validité des certificats TLS, il est prévu que tôt ou tard, la validité soit réduite à un an. Les éditeurs de navigateurs web continueront de le demander et les propriétaires des sites web choisiront dans la plupart des cas un certificat d'un an "sans risque".

Si vous pensez aux utilisateurs d'appareils Apple (Mac, iPad, iPhone), vous devriez renouveler les certificats pour un an seulement. Vous ne pourrez les prolonger que 33 jours avant la date d'expiration, sinon la limite indiquée sera dépassée.

Si vous ne vous souciez pas des utilisateurs d'Apple, vous pouvez toujours utiliser les certificats de deux ans, même après le 1er septembre 2020. Mais le fait d'acheter un certificat de deux ans peut effectivement poser problème, car on peut s'attendre à ce que les les autorités de certification vont passer bientôt au cycle annuel (un cycle de deux ans pourrait porter à confusion).

Les propriétaires des certificats TLS devront changer leur certificat sur le serveur année après année (espérons que le raccourcissement de la durée de validité ne se produira plus). Il est conseillé de prolonger le certificat de deux ans avant le 1er septembre et de profiter de cette option pour la dernière fois ; cela n'affecte pas la fiabilité du certificat. Les administrateurs qui n'utilisent pas des certificats TLS pour des sites web (mais par exemple pour un serveur de messagerie) seront inutilement limités par cette restriction. L'avantage c'est que vous n'aurez pas à refaire toute la vérification à chaque remplacement (voir le paragraphe suivant).

Le raccourcissement de la durée de validité ne s'applique pas aux certificats de signature S/MIME et aux certificats Code Signing.

Comment le changement affecte-t-il des clients ?

Le principal changement pour un titulaire du certificat sera la nécessité de remplacer son certificat plus fréquemment. Le renouvellement lui-même n'est pas un problème. L'obtention des certificats a été considérablement simplifiée et accélérée par rapport aux années précédentes. Alors qu'auparavant, il était nécessaire d'effectuer une authentification pour chaque certificat, même si vous l'avez demandé le lendemain de l'émission du certificat identique. L'AC DigiCert utilise désormais l'authentification enregistrée pour les entreprises et les domaines. Pour cela, il suffit simplement de garder le certificat OV ou EV actif et il vous sera délivré sans délai.

Pour nos clients, nous essayons de faciliter au maximum l'obtention et la gestion des certificats. Vous pouvez activer le renouvellement automatique, et si la vérification auprès de l'autorité de certification est active, votre certificat OV/EV sera délivré automatiquement et immédiatement. Tout ce que vous avez à faire, c'est de le remplacer sur le serveur.

Si vous avez un certificat à validation de domaine qui nécessite à chaque fois une vérification de domaine (DCV), vous effectuez uniquement cette vérification simple et le certificat vous est envoyé en quelques minutes.

Installation automatisée recommandée

Le changement affecte principalement les administrateurs des serveurs responsables de l'installation des certificats. Nous allons essayer de les aider.

En coopération avec DigiCert, nous vous proposons une automatisation complète de l'obtention et de l'installation des certificats TLS. Le protocole ACME est bien compatible avec les certificats délivrés par l'AC DigiCert, et vous permet d'utiliser un nombre des clients pour différentes plates-formes de serveurs. A l'aide de notre assistance, vous ne ferez que vérifier votre entreprise et vos domaines, et nous préparerons pour vous l'accès au protocole ACME chez l'AC. N'attendez plus et commencez à automatiser entièrement votre PKI !

N'hésitez pas à consulter notre FAQ ou à contacter notre équipe d'assistance.

Ressources et informations supplémentaires :
Bianca Cordonnier
Experte certifiée en sécurité SSL
DigiCert TLS/SSL Professional
e-mail: bianca.cordonnier(at)zoner.com