À compter d’aujourd’hui, la durée de vie des nouveaux certificats TLS sera limitée à 398 jours, soit un peu plus d’un an, à partir de la durée de vie maximale du certificat précédente de 27 mois (825 jours).
Dans une démarche visant à renforcer la sécurité, Apple, Google et Mozilla sont prêts à rejeter les certificats numériques enracinés publiquement dans leurs navigateurs Web respectifs qui expirent plus de 13 mois (ou 398 jours) à compter de leur date de création.
La durée de vie des certificats SSL / TLS a considérablement diminué au cours de la dernière décennie. En 2011, le Certification Authority Browser Forum (CA / Browser Forum), un consortium d’autorités de certification et de fournisseurs de logiciels de navigation, a imposé une limite de cinq ans, ramenant la période de validité du certificat de 8 à 10 ans.
Par la suite, en 2015, il a été ramené à trois ans et à nouveau deux ans en 2018.
Bien que la proposition de réduire la durée de vie des certificats à un an ait été rejetée scrutin en septembre dernier, la mesure a été massivement soutenue par les fabricants de navigateurs tels qu’Apple, Google, Microsoft, Mozilla et Opera.
Puis, en février de cette année, Apple est devenue la première entreprise à annoncer son intention de rejeter les nouveaux certificats TLS émis à partir du 1er septembre et ayant une validité de plus de 398 jours. Depuis, les deux Google et Mozilla ont emboîté le pas pour appliquer des limites similaires de 398 jours.
Les certificats émis avant la date d’application ne seront pas impactés, ni ceux qui ont été émis par des autorités de certification racine (CA) ajoutées par l’utilisateur ou ajoutées par l’administrateur.
«Les connexions aux serveurs TLS qui ne respectent pas ces nouvelles exigences échoueront», a expliqué Apple dans un document de support. « Cela peut entraîner des pannes du réseau et des applications et empêcher le chargement des sites Web. »
De son côté, Google a l’intention de rejeter les certificats qui enfreignent la clause de validité avec l’erreur « ERR_CERT_VALIDITY_TOO_LONG » et de les traiter comme mal émis.
De plus, certains fournisseurs de certificats SSL, tels que Digicert et Sectigo ont déjà cessé de délivrer des certificats valables deux ans.
Pour éviter des conséquences involontaires, Apple recommande que les certificats soient délivrés avec une validité maximale de 397 jours.
Pourquoi une durée de vie de certificat courte?
La limitation de la durée de vie des certificats améliore la sécurité du site Web, car elle réduit la période pendant laquelle des certificats compromis ou faux peuvent être exploités pour monter des attaques de phishing et de logiciels malveillants.
Ce n’est pas tout. Les versions mobiles de Chrome et Firefox ne vérifient pas de manière proactive l’état du certificat en raison de contraintes de performances, ce qui entraîne le chargement des sites Web avec des certificats révoqués sans avertir l’utilisateur.
Pour les développeurs et les propriétaires de sites, le développement est un bon moment pour implémenter l’automatisation des certificats à l’aide d’outils tels que Let’s Encrypt et EFF’s CertBot, qui offrent un moyen simple de configurer, d’émettre, de renouveler et de remplacer des certificats SSL sans intervention manuelle.
«Les certificats expirés continuent d’être un problème majeur, coûtant des millions de dollars aux entreprises en raison de pannes chaque année», a déclaré Chris Hickman, responsable de la sécurité chez Keyfactor. « En plus de cela, des avertissements de certificats expirés plus fréquents peuvent amener les visiteurs Web à devenir plus à l’aise pour contourner les avertissements de sécurité et les messages d’erreur. »
« Cependant, les abonnés aux certificats oublient souvent comment et quand remplacer les certificats, provoquant des interruptions de service suite à une expiration inattendue […] les laissant mal équipés pour gérer ces nouveaux certificats à durée de vie plus courte à grande échelle. «
