À compter du 1er septembre 2020, le navigateur Safari d’Apple fera plus confiance aux certificats SSL / TLS émis pendant plus de 398 jours, ce qui équivaut à un an plus la période de grâce de renouvellement. Apple a cité ses «efforts continus pour améliorer la sécurité Web» dans le annonce plus tôt cette année. Le changement affecte la gamme complète des plates-formes Apple:
Cette modification n’affectera que les certificats de serveur TLS émis par les autorités de certification racine préinstallées avec iOS, iPadOS, macOS, watchOS et tvOS. De plus, cette modification n’affectera que les certificats de serveur TLS émis à compter du 1er septembre 2020; les certificats émis avant cette date ne seront pas affectés par ce changement.
Apple commencera immédiatement à appliquer le changement, ce qui signifie qu’il refusera les connexions aux serveurs TLS qui ne répondent pas aux nouvelles exigences. Après l’annonce d’Apple, les deux Google et Mozilla les contributeurs ont proposé leurs propres implémentations qui plafonnent la validité des certificats à 398 jours.
Toutes les principales autorités de certification s’alignent, modifiant leurs offres pour se conformer à la nouvelle limite d’un an. Cela inclut le leader du marché CA IdenTrust, ce qui représente environ 52% de certificats SSL. DigiCert, une CA qui capte 20% du marché, publié une note sèche de conformité, soulignant le fardeau qu’il impose aux utilisateurs de certificats:
Pourquoi Apple a-t-il décidé unilatéralement d’appliquer une durée de vie de certificat plus courte? Leur porte-parole a déclaré que c’était pour «protéger les utilisateurs». Nous savons, d’après les discussions précédentes du forum CA / B, que des durées de vie plus longues des certificats se sont révélées difficiles pour remplacer les certificats, en cas d’incident de sécurité majeur. Apple veut clairement éviter un écosystème qui ne peut pas répondre rapidement aux principales menaces liées aux certificats. Les certificats de courte durée améliorent la sécurité car ils réduisent la fenêtre d’exposition si un certificat TLS est compromis. Ils aident également à corriger le désabonnement opérationnel normal au sein des organisations en assurant des mises à jour annuelles de l’identité, telles que les noms, adresses et domaines actifs des entreprises. Comme pour toute amélioration, le raccourcissement des durées de vie doit être mis en balance avec les difficultés requises des utilisateurs de certificats pour mettre en œuvre ces changements.
L’idée derrière ce changement est que les certificats avec des cycles de vie plus courts sont plus sécurisés, car les clés compromises expireraient dans des délais plus courts. La nouvelle expiration d’un an oblige les hôtes et les fournisseurs de certificats à faire de l’automatisation une priorité élevée. En fait, c’est l’une des raisons pour lesquelles les certificats gratuits de Let’s Encrypt ont déjà un court Cycle de vie de 90 jours. Il a été mis en place il y a des années pour encourager l’automatisation afin que les durées de vie plus courtes ne soient pas moins pratiques que les plus longues.
Let’s Encrypt recommande aux abonnés de renouveler tous les 60 jours et peut même envisager de recommander des durées de vie plus courtes une fois que les outils de renouvellement automatisés seront plus largement adoptés. Cela peut se produire plus tôt que prévu maintenant que la politique d’Apple impose des changements dans l’ensemble du secteur.
De nombreux utilisateurs de WordPress utilisent les certificats Let’s Encrypt à l’aide d’un plugin comme Redirection WP Force SSL et HTTPS (100 000 + installations actives), SSL Zen (20k + installations) ou Cryptage WP (20k + installations). Certains plugins ont un renouvellement automatique intégré, mais certains le proposent dans le cadre d’une mise à niveau commerciale. D’autres comptent sur les hôtes pour effectuer les renouvellements.
Bien que la plupart des propriétaires de sites Web n’aient pas besoin de prendre de mesures, le cycle de vie plus court des certificats peut devenir un problème sans gestion automatisée des certificats. Cela peut également affecter la facturation des clients avec différentes options disponibles auprès des hôtes et des autorités de certification. Si vous gérez des sites Web pour des clients dont les sites reposaient auparavant sur des certificats avec des cycles de vie plus longs, vous voudrez vous assurer de mettre en place une forme de gestion automatisée des certificats lorsque la modification entre en vigueur.
Source link