Affaire Apple : pas besoin de remplacer vos certificats SSL/TLS pour le moment

Depuis près d'une décennie, la durée de validité des certificats se réduit progressivement. En février dernier à Bratislava, en Slovaquie, Apple a fait part, à la surprise générale, de son intention de limiter la validité des certificats SSL/TLS à 398 jours sur Safari. Mais qu'en est-il exactement ?

Un débat couve depuis l’année dernière au sein de la communauté des autorités de certification et des navigateurs concernant la durée de validité idéale des certificats SSL et TLS. Les discussions furent animées. Celles-ci se sont conclues en septembre dernier, lors du CA/B Forum, par un vote des autorités de certification (AC) contre la proposition de Google de réduire à un an la durée de validité maximale.

Depuis maintenant près d'une décennie, la durée de validité des certificats s’est réduite progressivement. Après tout, à un moment, leur validité pouvait aller jusqu'à dix ans. En 2011, avec les préoccupations croissantes en matière de sécurité, la validité a été ramenée à cinq ans. En 2018, les navigateurs ont imposé une limite de deux ans.

Et voilà que lors de la réunion du CA/B Forum qui s’est tenue en février dernier à Bratislava, en Slovaquie, Apple a fait part, à la surprise générale, de son intention de limiter la validité des certificats SSL/TLS à 398 jours sur Safari (soit un an et un mois afin de faciliter les renouvellements).

Depuis l'annonce d'Apple, la communauté informatique au sens large a discuté de cette décision et de son impact.

Je vous propose de passer en revue cette décision.

Le raisonnement d'Apple

L'initiative d'Apple visait à améliorer la sécurité en s'assurant que les développeurs utilisent des certificats répondant aux dernières normes cryptographiques. En outre, Apple souhaitait également réduire le nombre de certificats plus anciens et peut-être oubliés. En effet, ces certificats pourraient faire l’objet d’un usage détourné à des fins de phishing ou d’autres types d’attaques et donc poser un énorme problème.

Pas de panique… il reste encore du temps aux entreprises pour s'y préparer

En réalité, cette décision n’aura pas d’impact sur les consommateurs avant le 1er septembre 2020. Les entreprises ont donc le temps de s’y préparer. Mais, à compter de cette date, la validité des certificats SSL/TLS émis ne pourra excéder 398 jours. Au-delà de cette durée, ils ne seront pas considérés comme fiables par les systèmes d’exploitation Apple (Mac OS et iOS) — tous les utilisateurs de Safari sont donc concernés. En outre, compte tenu des souhaits précédemment exprimés par Google et Mozilla de raccourcir la validité des certificats, ceux-ci emboîteront également le pas à Apple en appliquant probablement les mêmes dates butoirs.

Qu’est-ce que cela signifie pour les entreprises ? Eh bien, à compter du 1er septembre, si une organisation souhaite que son site Internet fonctionne pour les utilisateurs Apple, elle ne pourra plus choisir un certificat d’une validité de deux ans. Elle devra également remplacer ses certificats ou organiser des rotations plus fréquentes que par le passé.

Le côté positif de cette décision est qu’il n’y aura pas lieu de se précipiter pour obtenir de nouveaux certificats AVANT le 1er septembre. Les certificats SSL/TLS qui ont été émis de manière valable aujourd’hui resteront valides jusqu’à leur date d’expiration. C’est ensuite, au moment du renouvellement, que les entreprises devront opter pour un certificat d’une validité d’un an.

Il est donc possible d’ignorer tous ceux qui nous enjoindront à remplacer notre certificat maintenant. Ce n'est purement et simplement que du battage publicitaire.

Les éditeurs de navigateurs, et plus spécifiquement Chrome et Mozilla, ont longtemps déclaré préférer les périodes de validité plus courtes pour les certificats de confiance publique. En théorie une validité plus courte est un gage de sécurité accrue, la durée d’exposition aux menaces étant réduite en cas de compromission de la clé privée, et les vérifications d’identité étant plus fréquentes en cas de modifications des éléments d’identité dans le certificat SSL (organisation, noms, adresses et domaines actifs).

Pourquoi le précédent scrutin du CA/B Forum s’est-il soldé par un échec ?

L’échec du dernier scrutin peut s’expliquer par plusieurs raisons. Toutes les AC ont consulté directement leurs clients pour leur demander leur avis. Et la réponse a été unanime. Nous n’avons pas noté d’engouement particulier pour une durée de vie raccourcie, aussi bien pour les grandes entreprises que pour les PME. Pour quelles raisons ? Principalement le manque de temps, de budget et d’employés pour gérer convenablement cette transition.

Ensuite, dans sa proposition, Google voulait que le changement soit mis en place avant le 1er avril, soit moins de six mois avant la date du vote — un délai tout simplement insuffisant. Il a donc été demandé de fixer une date dans les 12 à 18 mois à venir, afin de laisser à chacun le temps de se préparer aux changements.

Apple semble avoir choisi de couper la poire en deux, en visant le mois de septembre.

Quel sera l’impact sur le long terme ?

Toutes les autorités de certification s’emploient à améliorer Internet pour en faire un lieu d’interactions sociales et de transactions commerciales plus sûr.

Du point de vue de la sécurité, il est parfois préférable d’avoir une période de validité plus courte. Les AC espèrent que les éditeurs de navigateurs justifieront concrètement leur démarche en listant sérieusement les problèmes de sécurité liés à l’utilisation de certificats d’une validité de deux ans. Car en effet, pour la plupart des AC, ces raisons ne sont pas forcément claires. Avec une analyse correcte de la sécurité des certificats de deux ans et de leurs vulnérabilités, et un calendrier de mise en œuvre des changements plus raisonnable, beaucoup soutiendrait ce passage à des certificats d’un an. Mais si les éditeurs de navigateurs poursuivent un objectif spécifique, certes pertinent au regard de leur activité, nous avons, en tant qu’AC, également nos objectifs. Et nous devons veiller à ce que nos clients puissent aborder ce changement dans des conditions optimales. Par conséquent, il est essentiel de collaborer étroitement avec toute organisation qui cherchera à rationaliser et améliorer la gestion du cycle de vie de ses certificats pour se conformer au mieux aux nouvelles décisions des éditeurs de navigateurs sur la validité des certificats.

Malgré la façon peu orthodoxe dont cette initiative a été introduite, la communauté des AC continuera à accompagner les acteurs du Web vers plus d’automatisation et d’agilité pour les solutions de gestion de certificats.