Le 1^er septembre 2020, Apple, Mozilla et Google ne feront plus confiance aux certificats SSL/TLS dont la durée de validité a dépassé 398 jours. Cette décision est le résultat d’une tentative de longue date de l’industrie de réduire la validité des certificats afin de rendre internet plus sûr.

Au départ, l’idée a été introduite dans un sondage du forum CA/B, réalisé à l’initiative de Ryan Sleevi , travaillant chez Google, et fut rejetée après que des milliers de clients aient exprimé leur frustration par rappport au travail supplémentaire nécessaire aux équipes informatiques pour effectuer ce changement. Malgré le rejet de la proposition, Apple, Mozilla et Google ont décidé d’effectuer le changement.

Les avantages de la réduction du temps de validité des certificats

Bien que le caractère forcé de cette décision puisse être désagréable, au lieu de s’énerver, regardons plutôt les raisons qui font que la validité d’un an peut être un avantage.

1. Malgré tous les efforts de l’industrie pour respecter les exigences de base du Forum CA/B, il arrive que certains certificats soient mal délivrés par les autorités de certification. Étant donné que les validations peuvent être réutilisées jusqu’à 825 jours et que les validations réutilisées peuvent être émises pour une nouvelle validité de 825 jours, il faudra sans doute attendre jusqu’à 4 ans et demi avant que les problèmes soient résolus. Une validité d’un an réduirait de moitié cette durée, ce qui représenterait une amélioration conséquente concernant la sécurité des certificats.
2. Plus le nombre de certificats arrivant à expiration augmente, plus le coût associé aux OSCP et aux CRL augmente également. Ce coût est souvent répercuté sur les utilisateurs et les navigateurs par les autorités de certification. Réduire la durée de vie d’un certificat permet de protéger les utilisateurs tout en réduisant le coût des certificats.
3. En abaissant la durée de validité des certificats, nous rendons sans doute le renouvellement plus facile pour les utilisateurs, ce qui réduit le nombre d’erreurs sur les sites web et garantit la continuité des activités.
4. Utiliser les mêmes données de validation pendant trop longtemps rend plus difficile le remplacement des certificats présentant un risque de sécurité en raison des risques de sécurité déjà existants dans les exigences de base. La réduction de la durée de vie des certificats implique de vérifier plus fréquemment que les certificats soient bien validés.
5. Il est actuellement possible de céder son nom de domaine tout en conservant un certificat valable pour ce dernier. Ce risque, illustré par BygoneSSL, peut également être atténué en réduisant la durée de vie des certificats.
6. L’abaissement de la durée de validité des certificats permet de réduire la “fenêtre d’exposition” aux problèmes courants d’émission erronée, tels que l’antidatation des certificats, un phénomène réccurent aujourd’hui.

DigiCert, en publiant sa position sur la durée de validité d’un an, a déclaré :

“DigiCert reconnaît que des durées de vie plus courtes contribuent à renforcer la sécurité de l’écosystème et dispose des outils nécessaires pour aider nos clients à automatiser le processus de cycle de vie des certificats. Nous prenons en charge les certificats à courte durée de vie, avec des durées de vie aussi courtes que quelques heures pour les clients disposant de capacités d’automatisation avancées.”

Qu’est-ce que cela signifie pour vos clients ?

Les certificats émis avant le 1^er septembre 2020 auront la même durée de validité que celle qu’ils avaient à l’achat, c’est-à-dire jusqu’à 825 jours. Aucune action sur ces certificats ne devra être entreprise.

Les certificats émis après le 1^er septembre devront être renouvellés tous les ans. Bien que les avantages mentionnés par le vote du Forum CA/B comprennent un renouvellement en réalité plus facile, le renouvellement manuel nécessiterait plus de temps de gestion.

C’est là que Trustcubes entre en jeu ! Grâce à CertCentral, notre plateforme gratuite de gestion de certificats livrée avec chaque commande, le renouvellement est facilement géré et les pannes sont réduites. CertCentral y parvient en utilisant des rappels de renouvellement et la gestion des utilisateurs, ce qui vous permet de garder le contrôle de votre inventaire de certificats sans le temps et la gestion supplémentaires qu’une approche manuelle exigerait.

Trustcubes propose un prix imbattable sur les certificats SSL/TLS pour les commandes en gros. Contactez-nous dès maintenant pour découvrir comment nous pouvons réduire le coût de votre écosystème PKI.