Validité des certificats HTTPS réduite à 13 mois : qu’est-ce que cela implique ?

Validité des certificats HTTPS réduite à 13 mois

28 Sep Validité des certificats HTTPS réduite à 13 mois : qu’est-ce que cela implique ?

Temps de lecture : 8 min

 

Il y a quelque temps déjà, nous vous parlions de l’importance de passer votre site web en HTTPS. Les certificats SSL / TLS pouvaient être renouvelés tous les 2 ans pour rester valides notamment auprès des navigateurs web. Cependant, en février dernier, Apple annonçait que les certificats HTTPS de plus de 13 mois de validité ne seraient plus autorisés sur son navigateur Safari. Cette annonce a pris effet le 1er septembre 2020 et ne concerne plus seulement Safari mais aussi Mozilla, Google et bien d’autres.

Cette décision, prise unilatéralement par Apple, a donc eu des répercussions sur l’ensemble des acteurs liés de près ou de loin aux certificats numériques. Nous allons ainsi voir dans cet article quelles en sont les conséquences et ce que cela implique pour les autorités de certification, pour les moteurs de recherche mais aussi, et surtout, pour les propriétaires et utilisateurs de sites web.

Qu’est-ce qu’un certificat SSL / TLS ?

Les certificats SSL (Secure Socket Layer), de plus en plus remplacés par TLS (Transport Layer Security), sont des protocoles permettant de garantir que la connexion entre le navigateur web et le site web qu’un internaute visite est sécurisée. L’URL du site est alors précédée de « https:// ». Ce certificat est censé garantir qu’il s’agit d’un site sécurisé et non d’un site utilisé par un pirate informatique à des fins de phishing ou autre.

Pour obtenir un certificat TLS valable, le propriétaire du site doit attester de sa légitimité. Il existe pour cela différents types de contrôles avec plusieurs niveaux de sécurité :

  • La Validation du domaine (SSL DV) – certificats SSL émis en quelques minutes
    Un certificat SSL à validation du domaine est le type de certificat le plus rapide à émettre (quelques minutes). Le certificat SSL DV certifie seulement que l’échange d’information avec le site internet est sécurisé. Aucune Autorité de Certification n’a vérifié et validé l’identité du propriétaire du site web.
    Le certificat SSL DV est a utilisé de préférence pour des sites sans traitements de données personnelles ou pour des sites en préproduction.
  • La Validation de l’Organisation (SSL OV)
    Un certificat SSL OV possède un fort niveau de sécurité car il implique généralement une double vérification : validation du nom de domaine et validation de l’organisme qui souhaite obtenir ce type de certificat. Pour ce dernier point, le centre de certification vérifie l’existence juridique mais aussi physique de l’organisme. Les visiteurs d’un site possédant un certificat SSL OV peuvent voir un cadenas dans la barre d’adresse du navigateur. Le clic sur ce cadenas permet d’accéder aux informations du certificats.
  • La Validation Etendue (SSL EV)
    Un certificat SSL EV répond aux critères les plus exigeants. Il a le niveau de confiance et de sécurité le plus élevé et est fortement recommandé. Jusqu’à peu de temps, il activait l’affichage d’une partie verte dans la barre d’adresse du navigateur. Cette partie permettait de voir immédiatement qu’un site web était sécurisé en affichant directement le nom de l’entreprise et de l’Autorité de Certification. Bien que cet affichage ne soit plus, ce certificat offre le plus haut niveau de sécurité aux internautes et rend quasiment impossibles toutes les techniques de fraude et de phishing.

Quelle est la durée de validité d’un certificat SSL / TLS ?

Jusqu’au 1er septembre 2020, les certificats TLS étaient valides 27 mois. Leur durée était jusqu’alors définie par le CA/Browser Forum, un groupe informel composé d’autorités de certification (CA), d’entreprises qui émettent des certificats TLS et d’exploitants de navigateurs web.

Depuis 2005, ce groupe établit des règles sur la manière dont les certificats TLS doivent être émis et sur la manière dont les navigateurs et autres intervenants sont censés les gérer et les valider.

Les navigateurs et les autorités de certification discutent généralement des règles envisagées jusqu’à ce qu’ils trouvent un terrain d’entente. Chacun doit ensuite implémenter ces règles à son système.

Cependant, la durée de vie des certificats TLS est un sujet sur lequel le CA/Browser Forum a toujours eu beaucoup de mal à se mettre d’accord. D’abord définie à 8 ans, la durée a peu à peu diminuée jusqu’à 2 ans sous la pression des exploitants des navigateurs web. Ces derniers espèrent en effet voir la durée de validité des certificats réduite à quelques mois alors que les autorités de certifications préfèreraient une validité de plusieurs années.

Pour illustrer ce désaccord, revenons à l’année dernière. Google, avec le soutien des autres exploitants de moteurs de recherche, a demandé un nouveau vote pour tenter de ramenée la durée de validité des certificats TLS de 2 à 1 an. Malgré le soutien unanime de ses confrères, le vote a échoué par manque d’approbation de la part des autorités de certification.

N’arrivant pas à obtenir le délai souhaité par la méthode traditionnelle, Apple en a finalement annoncé sa décision unilatérale de mettre en œuvre des durées de validation de 398 jours (13 mois) sur ses appareils.

Deux semaines plus tard, Mozilla annonçait la même chose, suivi quelques jours plus tard par Google.

Face à ce consensus des exploitants de navigateurs web, les autorités de certification se sont alignées et ont également réduit la durée de validité des certificats TLS à 397 jours (13 mois).

La limite de 13 mois correspond à la limite maximale. Il est ainsi possible d’avoir des durées plus courtes. La durée réelle d’un certificat est définie au moment de son émission. Plusieurs durées sont généralement proposées car les autorités de certification préfèrent vendre des certificats avec une durée plus longue et plus cher par rapport à l’achat successif de certificats courts.

Pour continuer à proposer ces offres « longue » durée, les autorités de certification commencent à mettre en place des offres « multi-years ». Ces offres proposent l’achat d’un certificat mais également le droit de le réémettre pendant une durée définit pouvant aller jusqu’à 6 ans.

Pour finir, sachez que Let’s Encrypt exige que vous renouveliez votre certificat tous les 90 jours. Il est toutefois possible d’utiliser ce type de certificat avec un outil « certbot » qui permet d’automatiser la génération de certificat. Une fois le système mis en place, le renouvellement s’effectue donc automatiquement sans besoin d’intervention humaine.

Pourquoi réduire la durée de validité des certificats TLS à 13 mois ?

Vu de l’extérieur, on pourrait penser qu’il s’agit tout simplement d’une démonstration de pouvoir pour Apple et les autres exploitants de moteurs de recherche. Toutefois, leur décision de réduire le temps de validité des certificats TLS résulte d’une réelle volonté de sécuriser le web.

En effet, la raison principale de leur décision est de permettre d’éliminer plus rapidement les certificats TLS obsolètes qui ne répondent plus aux critères de sécurité en vigueur.

Comme vu précédemment, un certificat TLS est censé garantir aux internautes que les sites sur lesquels ils naviguent sont sécurisés. Or, il arrive que certains certificats soient utilisés par des pirates informatiques à des fins malveillantes.

Normalement, quand un certificat TLS est réputé avoir été utilisé de façon malhonnête, ce dernier est censé être révoqué par les autorités de certification. Cependant, dans les faits, le processus de révocation des certificats est assez lent et certains restent valides pendant des années. Seulement, ce manque de réactivité permet aux pirates informatiques de continuer à utiliser ces certificats défaillants.

En réduisant la durée de validité des certificats TLS, les exploitants de moteurs de recherche espèrent forcer plus rapidement le renouvellement des certificats défaillants et ainsi sécuriser d’avantage le web.

Pourquoi les autorités de certification ne souhaitent pas réduire la durée de validité des certificats TLS ?

Bien que contraintes de s’aligner à la décision d’Apple pour que leurs certificats continuent de fonctionner, les autorités de certification sont loin de partager l’opinion des exploitants de moteurs de recherche.

Elles estiment en effet que réduire le temps de validité des certificats n’aura que peu d’incidence sur la sécurité. Elles prennent notamment en exemple le fait que les pirates informatiques ont tendance à abandonner les certificats TLS après les avoir utilisés une fois.

Elles estiment également que réduire les durées de vie des certificats demande plus de travail à leurs équipes puisqu’il faut changer des normes. Or, d’après les autorités de certifications, les normes des certificats TLS ne devraient pas être mises à jour car une norme est censée rester inchangée.

Malgré leur point de vue divergeant, les autorités de certification sont désormais censées proposer des certificats SSL ou TLS valides au maximum 13 mois, soit 397 jours.

Qu’est-ce que cela implique à compter du 1er septembre 2020 ?

Pour les éditeurs de navigateurs web :

Pour Safari, Google Chrome, Mozilla Firefox et sans doute bientôt de nombreux autres, la diminution du temps de validité des certificats TLS implique une mise à jour de leur politique de vérification.
À noter : Cette politique ne s’applique qu’aux nouveaux certificats créés à partir du 1er septembre 2020. Ceux créés avant cette date seront acceptés par les moteurs de recherche.

Pour les autorités de certification :

Si les autorités de certifications souhaitent que les certificats TLS qu’elles émettent après cette date soient reconnus dans les navigateurs d’Apple, Google et Mozilla, ils ne devront pas avoir une durée de vie supérieure à 398 jours. Dans le cas contraire, le certificat émettra une erreur et les connexions seront abandonnées par le navigateur. Le site sera alors inaccessible pour les Internautes.

Pour les propriétaires de site Internet :

A compter du 1er septembre 2020, chaque nouveau certificat TLS ne devra pas dépasser une validité de 398 jours. Cela implique que les propriétaires de sites devront renouveler leur certificat chaque année et réeffectuer les différents contrôles d’authentification. Pensez donc à vous mettre un rappel tous les ans ou à bien lire les mails de votre organisme de certification pour ne pas risquer de voir votre site inaccessible.

Pour les internautes :

En tant qu’internautes, cela ne devrait pas avoir beaucoup d’impact. Il est toutefois possible que nous rencontrions plus d’erreurs HTTPS dans nos navigateurs, notamment en octobre l’année prochaine.

Et après ?

Les exploitants des moteurs de recherche ont montré qu’ils avaient le pouvoir de faire accepter leurs choix à toutes les entreprises et organisations liées aux certificats SSL / TLS. Il n’est donc pas exclu que d’autres annonces, comme une nouvelle réduction de la durée de validité, soient faites dans les mois ou années à venir.
Pour palier à cela, il semblerait que les organismes qui délivrent les certificats imaginent de nouveaux procédés de validation et de renouvellement. Peut-être verrons-nous bientôt des certificats qui se remplacent très régulièrement sans avoir de procédures d’authentification lourde à chaque changement.

 

Comme d’habitude, nous espérons que cet article vous aura été utile et vous aura permis de mieux comprendre les problématiques actuellement posées par le changement de durée de validité des certificats. Notre but est toujours de mieux vous accompagner et de vous conseiller. Un projet digital ? Une question ? Contactez les experts digitaux de Némésis studio !