Safari n’acceptera bientôt plus les certificats HTTPS de plus d’un an 🆕

Nicolas Furno |

Mise à jour 03/03 — Apple officialise dans une note technique les délais limites apportés aux certificats TLS. Rien de nouveau par rapport à l'article ci-dessous, mais voilà, c'est noir sur blanc.


À compter du premier septembre 2020, Safari n’acceptera plus les certificats HTTPS trop longs. Seuls ceux qui expirent au maximum sous 389 jours, soit 13 mois, seront acceptés par le navigateur. Cette nouvelle politique rapportée par The Register a été annoncée cette semaine par Apple auprès du CA/Browser forum, un consortium qui regroupe les créateurs de navigateurs web et les autorités qui délivrent les certificats HTTPS.

Un certificat HTTPS est indispensable pour que la connexion entre votre navigateur web et le site internet que vous visitez soit sécurisée, et donc pour que l’URL passe en https:// et que les navigateurs modernes n’affichent pas d’erreur. Ce certificat permet de garantir que c’est le bon site qui est chargé, et pas une copie créée par un tiers malveillant, par exemple à des fins de phishing. Pour obtenir un certificat valide, le créateur du site doit prouver qu’il est bien légitime.

Les certificats HTTPS peuvent être obtenus pour plusieurs années, à l’image de celui que nous utilisons sur notre site et qui est valable deux ans. Ces certificats payants doivent en général être renouvelés manuellement.

Il y a différents types de vérifications et plusieurs niveaux de sécurité associés à chaque type. Les certificats les plus courants sont liés uniquement à l’association d’un nom de domaine et d’un serveur. Si vous possédez les droits sur le nom de domaine et que vous pouvez modifier ses paramètres pour l’associer à un serveur, vous pouvez recevoir un certificat de courte durée.

Les certificats gratuits de Let’s Encrypt, qui est devenu le numéro un du secteur depuis sa création en 2015, expirent après trois mois seulement. Ils doivent être renouvelés au maximum tous les 90 jours, ce qui permet de vérifier à chaque fois que vous êtes toujours le propriétaire légitime du domaine. Safari n’aura aucun problème avec ce type de certificats, qui oblige de toute manière à prévoir un renouvellement automatisé et donc à multiplier les vérifications.

Les certificats HTTPS payants étaient la seule option avant l’arrivée de Let’s Encrypt, mais ils restent disponibles sur le marché. Ils se basent sur une vérification plus sérieuse du propriétaire du site, et sont donc considérés comme plus sûrs par les navigateurs web. Ils sont plus compliqués à obtenir et doivent souvent être gérés manuellement, mais en contrepartie, ils sont valides bien plus longtemps. Au maximum, un certificat HTTPS peut être valide pendant 825 jours, soit deux ans, trois mois et des poussières.

Apple veut réduire cette durée maximale par plus de deux, avec des certificats qui expirent au maximum après un an et un mois. Précision importante, la politique ne concernera que les nouveaux certificats créés à partir du premier septembre 2020. Ceux qui avaient été créés avant cette date seront toujours acceptés par Safari. L’objectif est de multiplier les vérifications, comme pour les variantes payantes, mais aussi de permettre un renouvellement plus rapide pour accélérer les transitions technologiques. La sécurité des certificats se renforce régulièrement et en les renouvelant tous les ans, les nouveautés seront généralisées plus vite.

Un certificat Let’s Encrypt est gratuit et valide pendant trois mois au maximum, mais il est renouvelé automatiquement par le serveur web.

La firme de Cupertino n’est pas le seul acteur qui souhaite réduire la durée de vie des certificats. En août 2019, Google avait soumis au CA/Brower forum l’idée de restreindre tous les certificats HTTPS à un an, mais la proposition avait été rejetée par le consortium. Apple trouvait manifestement que l’idée était bonne et a choisi de passer outre l’avis de la majorité.

Safari pesant de tout son poids dans le monde des navigateurs grâce à iOS, on imagine que la politique deviendra rapidement la norme pour tout le monde et que le consortium finira par l’entériner.

Photo d’accroche : Chepe Nicoli

avatar ClownWorld 🤡 | 

Merci Apple de rendre la navigation 🧭 sur internet plus sûre et avec moins de pub 🤗

avatar raoolito | 

en meme temps, si Google et Chrome l’applique déjà ou vont l’appliquer bientôt, c’est quasiment gagné, manquera plus que firefox...

avatar WWII | 

Gracias Apple for being honest avec nous!

avatar marc_os | 

Donc exit les amateurs avec des noms de domaine perso et de petits sites s'ils ne veulent ou ne peuvent pas payer la taxe HTTPS.
Génial. :/
Internet a bien changé depuis ses débuts.

avatar reborn | 

@marc_os

Let’s Encrypt c’est gratuit

avatar oomu | 

let's encrypt demande des compétences qu'hier n'étaient pas nécessaire pour un simple site sans prétention et ne posant de risques à personne. Hier, un artiste pouvait raisonnablement se démerder avec du html et css et se faire un petit hébergement voir auto-hébergement s'il est bidouilleur pour un site sur son travail sans dépendre d'un Art station ou autre.

SSL/TLS lui demandera à l'inverse bien plus de compréhension théorique des enjeux de domain, certification, renouvellement, etc.

pour une entreprise, pour rendre let's encrypt raisonnablement viable faut automatiser sa gestion, ce qui demande encore une fois des compétences d'intégration d'outils de regénération de certificats dans vos outils et process internes (y a pas qu'Apache dans la Vie)

un certificat let's encrypt ne dure que 90 jours.

avatar koko256 | 

@oomu

"Hier, un artiste pouvait raisonnablement se démerder avec du html et css"
Avec les standard html/css d'hier et le résultat assez moche d'hier. Aujourd'hui cela n'est plus vrai. Un artiste passera par un CMS et la plupart ont des plugins letsencrypt.

avatar oomu | 

je ne suis pas clair.

Mon point est que c'est une tâche/gestion/connaissance SUPPLEMENTAIRE qui s'empile à ce que doit déjà maintenir des individus pour qui cette administration n'apporte rien (aucun bénéfice concret).

sinon, concernant CMS etc, c'était déjà le cas "hier" que les cms existaient. hier ou aujourd'hui, même combat.

Les CMS demandent de mettre la main dans le cambouis (templating, code pour y greffer un truc spécifique non prévu, genre un viewer 3D etc) et letsencrypt ne va pas de soi

L'intiative CSS Zen Garden d'il y a plus de 10 ans démontrait ce qui était faisable avec déjà des outils simples.

avatar iPop | 

@koko256

Pour faire un site, on a pas vraiment besoin de CMS. Surtout pour s’embêter avec des plug-in et une tonne de menus, tous incompréhensibles les uns que les autres pour un truc assez simple.

avatar Gulivert | 

@koko256
En quoi le html/css est moche et d’hier? Et le cms il utilise quoi d’après toi? A part du js pour rendre le site plus dynamique et une technologie backend type php ou autre on a toujours du rendu pur css/html...
Donc non avec le html et le css c’est justement avec quoi tu peux tout faire et c’est toujours le cas.

avatar koko256 | 

@Gulivert

On prend chacun 1h, moi avec un CMS et toi avec html/css sans aucune lib et on voit ce que donne le résultat...

Cette remarque est aussi infondée que de dire que l'on n'a pas besoin de langage de programmation car on peut tout faire directement en binaire...

avatar Nicolas Furno | 

@oomu @marc_os

C'est encore le cas aujourd’hui. Les hébergeurs mutualisés proposent maintenant quasiment systématiquement du HTTPS basé sur Let's Encrypt, et vous n'avez absolument rien de plus à faire. Et si ce n'est pas le cas, c'est qu'il est temps de changer d'hébergeur, parce que c'est devenu général.

Même les poids lourds du secteur, comme 1&1, proposent du Let's Encrypt gratuitement sur leurs offres mutualisées…

Et pour ceux qui ont un serveur, Caddy se charge de tout de manière totalement transparente, c'est bien plus simple qu'avec Apache ou Nginx… https://caddyserver.com

avatar Pascal-007 | 

Merci pour le tuyau sur Caddy, Nicolas. Je ne connaissais pas (je ne connais pas tout 😝).

avatar marc_os | 

@ reborn

Effectivement, mais...

« Les certificats gratuits de Let’s Encrypt [...] expirent après trois mois seulement. Ils doivent être renouvelés au maximum tous les 90 jours »

Ok, ce n'est pas insurmontable, mais bon c'est quand même un frein.

avatar ON3AL | 

Chez 1&1 et ovh, le renouvellement est automatique, il n'y a rien à faire ;)

avatar koko256 | 

@reborn

Oui mais si cela n'est pas pré-câblé par l'hébergeur, c'est quand même un peu touchy à mettre en place.

avatar Bil | 

@koko256

Ouais enfin c’est juste une tache CRON…

avatar bugman | 

@koko256

Ce n’est pas insurmontable non plus.

avatar pagaupa | 

@marc_os

Internet n’est plus qu’une source de revenu et un moyen de flicage, donc bien éloigné des bases de sa création...

avatar Elkaar (non vérifié) | 

@marc_os

C'est vrai ça a changer ... disons que ça a évolue ... certaines choses ne sont plus faisables (ou plus difficilement)
Mais y a aussi de nouvelles choses qui sont faisables...
c'est comme ça ... show must go on

avatar oomu | 

sigh...

avatar patounemedia | 

Ils ne pensent pas aux PKI internes d’entreprise.... je me vois mal changer mes plus de 500 certificats des machines et des services à usages internes chaque année. Bon, on a pas Safari en interne et j’espère qu’on aura des possibilités par policies de faire accepter notre chaine de certification interne dans les navigateurs pour les certificats non public.....

avatar oomu | 

Apple ne pense jamais au delà d'un certain "grand public".

On a pas le détail encore.
-
"Bon, on a pas Safari en interne et j’espère qu’on aura des possibilités par policies de faire accepter notre chaine de certification interne dans les navigateurs pour les certificats non public....."

Trousseau macos.

Mais sinon, la réponse sera presque systématiquement "pfiulalala, AD est tellement plus puissant et microsoft fournit déjà tout l'univers qu'ont besoin les IT pour provisionner les politiques des postes de travail". plié.

avatar oomu | 

" Internet a bien changé depuis ses débuts. "

heureux sont les bienheureux qui se fichent de tout.

plus le temps passe, plus le web devient un truc administratif pour y écrire BURP (et misère si vous vouliez y gérer une liste de diffusion de l'amicale des burpeurs de plissouy-les-oies : rgpd, cookie, etc).

La réponse des bienheureux étant "ben fout chez un hébergeur" ou pire "lol, fait une page facebook". Juste pour dire BURP ? bof, triste évolution du net.

avatar Edenpulse | 

plus le temps passe, plus le web se professionnalise surtout. Et oui, en 2020 il faut un peu plus de travail qu'en 1990 pour faire un site web correct.
"pour une entreprise, pour rendre let's encrypt raisonnablement viable faut automatiser sa gestion, ce qui demande encore une fois des compétences d'intégration d'outils de regénération de certificats dans vos outils et process internes (y a pas qu'Apache dans la Vie)"
Je suis un particulier qui gère plusieurs sites, Let's encrypt y est automatisé, et ça fonctionne avec du cache et nginx. Et j'suis pas un fou furieux non plus, c'est simple et rapide à faire.
Et pour tout les artistes etc... comme tu le mentionnes, il y a des solutions tout à fait efficaces en ligne pour réaliser des sites professionnels de qualité sans faire de code non plus (carbonmade, squarespace et autres) et qui proposent bien sûr de l'https.

avatar oomu | 

"Et pour tout les artistes etc... comme tu le mentionnes, il y a des solutions tout à fait efficaces en ligne pour réaliser des sites professionnels de qualité sans faire de code non plus (carbonmade, squarespace et autres) et qui proposent bien sûr de l'https.
"

Je referai un tour des solutions et leur accessibilité pour les non ingénieurs.

Je reste méfiant des réflexes et biais que j'ai. J'estime qu'il est facile pour un ingénieur d'oublier ce qui est pour lui ou elle une évidence mais un mystère même pas nommé pour d'autres ayant un besoin de site internet.

avatar Pascal-007 | 

«plus le temps passe, plus le web se professionnalise surtout. Et oui, en 2020 il faut un peu plus de travail qu'en 1990 pour faire un site web correct.»
En même temps, il faut se remettre dans le contexte : en 1995, faire un site web correct, c'était une page avec un fond gris, un lien bleu souligné, un titre qui clignote et une ligne de séparation avec un effet 3D...

avatar pecos | 

C'est vrai que c'était clairement indispensable d'avoir une généralisation de SSL/TLS sur tous les sites web. Hé hé...
Quel foutoir, avant, du temps où seules les banques ou les sites de commerce avaient ce précieux certificat.

De nos jours, la vie est belle :
Comme tous les sites, en pratique, sont en HTTPS, surtout les mutualisés, les andouilles qui cliquent sur un lien de phishing CROIENT que c'est vraiment le site de leur banque : ben oui, il y a le cadenas dans la barre d'adresse !

Merveilleux, n'est-il pas ?

P.S. à l'attention de macg : apparemment depuis quelques jours vous servez plus votre site aux pauvres dégénérés comme moi coincés avec safari 9.
J'imagine que c'est volontaire ? Dans ce cas je ne pourrai regarder votre site que quand je me sers de firefox. C'est rare. Mais c'est vous qui voyez.

avatar Nicolas Furno | 

@pecos

Non, ça devrait fonctionner à partir de Safari 9 justement. Pourrais-je avoir le détail, la configuration, l'erreur et tout ça par mail ? (nicolas@macgeneration.com)

avatar pecos | 

Merci de m'avoir répondu, Nicolas, je vous ai envoyé un courriel avec des captures d'écran.

avatar hogs | 

que se passe-t'il pour les accès via navigateur (souvent en http) à la configuration de son imprimante, routeur ou autre bidule connecté à son petit réseau domestique ?

avatar coink | 

http n'est pas concerné. Les certificats SSL c'est pour httpS

avatar hogs | 

@coink

Oui bien sûr, ça m’avait échappé. Merci pour la mise au point ;-)

avatar Sanid35 | 

Question d’ignare sur le sujet : ça sert à quoi une validité de 3 mois si le renouvellement est automatique ?

avatar Nicolas Furno | 

@Sanid35

Il est automatique, mais le certificat n’est délivré que si les conditions sont toujours réunies. Si le domaine en question ne pointe plus sur le serveur au moment de la demande, le nouveau certificat n’est pas créé malgré tout.

avatar Sanid35 | 

@nicolasf

Ah ok merci c’est plus clair ;)

avatar bugman | 

Et si Apple proposait des certificats ?

avatar popeye1 | 

Le web va étouffer dans complexité

avatar popeye1 | 

S’il vous plaît, pourriez-vous expliciter « Connectez-vous à votre. Compte MacG dans réglages ».
C’est un peu court pour l’utilisateur lambda

avatar popeye1 | 

Et pendant qu’on y est une présentation de l’ensemble du site sera pas du luxe ( certains auraient dit le foutoir, mais quel vilain mot ! ) :
MacG’ iGen....

avatar popeye1 | 

« Vous êtes connecté en tant que popeye1
En publiant un commentaire, vous acceptez les CGU de MacGeneration.
Vous êtes connecté en tant que popeye1
En publiant un commentaire, vous acceptez les CGU de MacGeneration. »
Pouvoir c’est dit 2 fois ? ⁉️🌺

avatar roquebrune | 

avec http/2 la securité est mieux intégrée et http/3 arrive cette annee
Apple fait tout pour qu'on utilise Chrome

avatar Pascal-007 | 

Je ne vois pas en quoi cette décision ferait qu’on serait poussé à utiliser Chrome. Tu pourrais expliquer?

avatar Gregoryen | 

Je suis chez o2switch donc le renouvellement se fait automatiquement tout les 3 mois ils me semble, et je peux le faire manuellement donc perso ça me va !

avatar free00 | 

Dans la note d'apple il est écrit :
This change will affect only TLS server certificates issued from the Root CAs preinstalled with iOS, iPadOS, macOS, watchOS, and tvOS. Additionally, this change will affect only TLS server certificates issued on or after September 1, 2020; any certificates issued prior to that date will not be affected by this change.

Cela veut dire que les entreprises qui ajoutent leur Root CAs ne sont pas concernées. Ouf !

avatar JLG47_old | 

Mais que devient donc la liberté du Net?
Blague dans le coin, il était temps de faire le ménage, mais il me semble que le plus urgent est de purger les chats de toute la haine qui s’y déverse.

avatar koko256 | 

@JLG01

On peut débattre ou être en désaccord sans se haïr.

CONNEXION UTILISATEUR