Safari n’acceptera bientôt plus les certificats HTTPS de plus d’un an 🆕

Nicolas Furno |

Mise à jour 03/03 — Apple officialise dans une note technique les délais limites apportés aux certificats TLS. Rien de nouveau par rapport à l'article ci-dessous, mais voilà, c'est noir sur blanc.


À compter du premier septembre 2020, Safari n’acceptera plus les certificats HTTPS trop longs. Seuls ceux qui expirent au maximum sous 389 jours, soit 13 mois, seront acceptés par le navigateur. Cette nouvelle politique rapportée par The Register a été annoncée cette semaine par Apple auprès du CA/Browser forum, un consortium qui regroupe les créateurs de navigateurs web et les autorités qui délivrent les certificats HTTPS.

Un certificat HTTPS est indispensable pour que la connexion entre votre navigateur web et le site internet que vous visitez soit sécurisée, et donc pour que l’URL passe en https:// et que les navigateurs modernes n’affichent pas d’erreur. Ce certificat permet de garantir que c’est le bon site qui est chargé, et pas une copie créée par un tiers malveillant, par exemple à des fins de phishing. Pour obtenir un certificat valide, le créateur du site doit prouver qu’il est bien légitime.

Les certificats HTTPS peuvent être obtenus pour plusieurs années, à l’image de celui que nous utilisons sur notre site et qui est valable deux ans. Ces certificats payants doivent en général être renouvelés manuellement.

Il y a différents types de vérifications et plusieurs niveaux de sécurité associés à chaque type. Les certificats les plus courants sont liés uniquement à l’association d’un nom de domaine et d’un serveur. Si vous possédez les droits sur le nom de domaine et que vous pouvez modifier ses paramètres pour l’associer à un serveur, vous pouvez recevoir un certificat de courte durée.

Les certificats gratuits de Let’s Encrypt, qui est devenu le numéro un du secteur depuis sa création en 2015, expirent après trois mois seulement. Ils doivent être renouvelés au maximum tous les 90 jours, ce qui permet de vérifier à chaque fois que vous êtes toujours le propriétaire légitime du domaine. Safari n’aura aucun problème avec ce type de certificats, qui oblige de toute manière à prévoir un renouvellement automatisé et donc à multiplier les vérifications.

Les certificats HTTPS payants étaient la seule option avant l’arrivée de Let’s Encrypt, mais ils restent disponibles sur le marché. Ils se basent sur une vérification plus sérieuse du propriétaire du site, et sont donc considérés comme plus sûrs par les navigateurs web. Ils sont plus compliqués à obtenir et doivent souvent être gérés manuellement, mais en contrepartie, ils sont valides bien plus longtemps. Au maximum, un certificat HTTPS peut être valide pendant 825 jours, soit deux ans, trois mois et des poussières.

Apple veut réduire cette durée maximale par plus de deux, avec des certificats qui expirent au maximum après un an et un mois. Précision importante, la politique ne concernera que les nouveaux certificats créés à partir du premier septembre 2020. Ceux qui avaient été créés avant cette date seront toujours acceptés par Safari. L’objectif est de multiplier les vérifications, comme pour les variantes payantes, mais aussi de permettre un renouvellement plus rapide pour accélérer les transitions technologiques. La sécurité des certificats se renforce régulièrement et en les renouvelant tous les ans, les nouveautés seront généralisées plus vite.

Un certificat Let’s Encrypt est gratuit et valide pendant trois mois au maximum, mais il est renouvelé automatiquement par le serveur web.

La firme de Cupertino n’est pas le seul acteur qui souhaite réduire la durée de vie des certificats. En août 2019, Google avait soumis au CA/Brower forum l’idée de restreindre tous les certificats HTTPS à un an, mais la proposition avait été rejetée par le consortium. Apple trouvait manifestement que l’idée était bonne et a choisi de passer outre l’avis de la majorité.

Safari pesant de tout son poids dans le monde des navigateurs grâce à iOS, on imagine que la politique deviendra rapidement la norme pour tout le monde et que le consortium finira par l’entériner.

Photo d’accroche : Chepe Nicoli

avatar ClownWorld 🤡 | 

Merci Apple de rendre la navigation 🧭 sur internet plus sûre et avec moins de pub 🤗

avatar raoolito | 

en meme temps, si Google et Chrome l’applique déjà ou vont l’appliquer bientôt, c’est quasiment gagné, manquera plus que firefox...

avatar WWII | 

Gracias Apple for being honest avec nous!

avatar marc_os | 

Donc exit les amateurs avec des noms de domaine perso et de petits sites s'ils ne veulent ou ne peuvent pas payer la taxe HTTPS.
Génial. :/
Internet a bien changé depuis ses débuts.

avatar reborn | 

@marc_os

Let’s Encrypt c’est gratuit

avatar oomu | 

let's encrypt demande des compétences qu'hier n'étaient pas nécessaire pour un simple site sans prétention et ne posant de risques à personne. Hier, un artiste pouvait raisonnablement se démerder avec du html et css et se faire un petit hébergement voir auto-hébergement s'il est bidouilleur pour un site sur son travail sans dépendre d'un Art station ou autre.

SSL/TLS lui demandera à l'inverse bien plus de compréhension théorique des enjeux de domain, certification, renouvellement, etc.

pour une entreprise, pour rendre let's encrypt raisonnablement viable faut automatiser sa gestion, ce qui demande encore une fois des compétences d'intégration d'outils de regénération de certificats dans vos outils et process internes (y a pas qu'Apache dans la Vie)

un certificat let's encrypt ne dure que 90 jours.

avatar koko256 | 

@oomu

"Hier, un artiste pouvait raisonnablement se démerder avec du html et css"
Avec les standard html/css d'hier et le résultat assez moche d'hier. Aujourd'hui cela n'est plus vrai. Un artiste passera par un CMS et la plupart ont des plugins letsencrypt.

avatar oomu | 

je ne suis pas clair.

Mon point est que c'est une tâche/gestion/connaissance SUPPLEMENTAIRE qui s'empile à ce que doit déjà maintenir des individus pour qui cette administration n'apporte rien (aucun bénéfice concret).

sinon, concernant CMS etc, c'était déjà le cas "hier" que les cms existaient. hier ou aujourd'hui, même combat.

Les CMS demandent de mettre la main dans le cambouis (templating, code pour y greffer un truc spécifique non prévu, genre un viewer 3D etc) et letsencrypt ne va pas de soi

L'intiative CSS Zen Garden d'il y a plus de 10 ans démontrait ce qui était faisable avec déjà des outils simples.

avatar iPop | 

@koko256

Pour faire un site, on a pas vraiment besoin de CMS. Surtout pour s’embêter avec des plug-in et une tonne de menus, tous incompréhensibles les uns que les autres pour un truc assez simple.

avatar Gulivert | 

@koko256
En quoi le html/css est moche et d’hier? Et le cms il utilise quoi d’après toi? A part du js pour rendre le site plus dynamique et une technologie backend type php ou autre on a toujours du rendu pur css/html...
Donc non avec le html et le css c’est justement avec quoi tu peux tout faire et c’est toujours le cas.

avatar koko256 | 

@Gulivert

On prend chacun 1h, moi avec un CMS et toi avec html/css sans aucune lib et on voit ce que donne le résultat...

Cette remarque est aussi infondée que de dire que l'on n'a pas besoin de langage de programmation car on peut tout faire directement en binaire...

avatar Nicolas Furno | 

@oomu @marc_os

C'est encore le cas aujourd’hui. Les hébergeurs mutualisés proposent maintenant quasiment systématiquement du HTTPS basé sur Let's Encrypt, et vous n'avez absolument rien de plus à faire. Et si ce n'est pas le cas, c'est qu'il est temps de changer d'hébergeur, parce que c'est devenu général.

Même les poids lourds du secteur, comme 1&1, proposent du Let's Encrypt gratuitement sur leurs offres mutualisées…

Et pour ceux qui ont un serveur, Caddy se charge de tout de manière totalement transparente, c'est bien plus simple qu'avec Apache ou Nginx… https://caddyserver.com

avatar Pascal-007 | 

Merci pour le tuyau sur Caddy, Nicolas. Je ne connaissais pas (je ne connais pas tout 😝).

avatar marc_os | 

@ reborn

Effectivement, mais...

« Les certificats gratuits de Let’s Encrypt [...] expirent après trois mois seulement. Ils doivent être renouvelés au maximum tous les 90 jours »

Ok, ce n'est pas insurmontable, mais bon c'est quand même un frein.

avatar ON3AL | 

Chez 1&1 et ovh, le renouvellement est automatique, il n'y a rien à faire ;)

avatar koko256 | 

@reborn

Oui mais si cela n'est pas pré-câblé par l'hébergeur, c'est quand même un peu touchy à mettre en place.

avatar Bil | 

@koko256

Ouais enfin c’est juste une tache CRON…

avatar bugman | 

@koko256

Ce n’est pas insurmontable non plus.

avatar pagaupa | 

@marc_os

Internet n’est plus qu’une source de revenu et un moyen de flicage, donc bien éloigné des bases de sa création...

avatar Elkaar | 

@marc_os

C'est vrai ça a changer ... disons que ça a évolue ... certaines choses ne sont plus faisables (ou plus difficilement)
Mais y a aussi de nouvelles choses qui sont faisables...
c'est comme ça ... show must go on

avatar oomu | 

sigh...

avatar patounemedia | 

Ils ne pensent pas aux PKI internes d’entreprise.... je me vois mal changer mes plus de 500 certificats des machines et des services à usages internes chaque année. Bon, on a pas Safari en interne et j’espère qu’on aura des possibilités par policies de faire accepter notre chaine de certification interne dans les navigateurs pour les certificats non public.....

avatar oomu | 

Apple ne pense jamais au delà d'un certain "grand public".

On a pas le détail encore.
-
"Bon, on a pas Safari en interne et j’espère qu’on aura des possibilités par policies de faire accepter notre chaine de certification interne dans les navigateurs pour les certificats non public....."

Trousseau macos.

Mais sinon, la réponse sera presque systématiquement "pfiulalala, AD est tellement plus puissant et microsoft fournit déjà tout l'univers qu'ont besoin les IT pour provisionner les politiques des postes de travail". plié.

avatar oomu | 

" Internet a bien changé depuis ses débuts. "

heureux sont les bienheureux qui se fichent de tout.

plus le temps passe, plus le web devient un truc administratif pour y écrire BURP (et misère si vous vouliez y gérer une liste de diffusion de l'amicale des burpeurs de plissouy-les-oies : rgpd, cookie, etc).

La réponse des bienheureux étant "ben fout chez un hébergeur" ou pire "lol, fait une page facebook". Juste pour dire BURP ? bof, triste évolution du net.

avatar Edenpulse | 

plus le temps passe, plus le web se professionnalise surtout. Et oui, en 2020 il faut un peu plus de travail qu'en 1990 pour faire un site web correct.
"pour une entreprise, pour rendre let's encrypt raisonnablement viable faut automatiser sa gestion, ce qui demande encore une fois des compétences d'intégration d'outils de regénération de certificats dans vos outils et process internes (y a pas qu'Apache dans la Vie)"
Je suis un particulier qui gère plusieurs sites, Let's encrypt y est automatisé, et ça fonctionne avec du cache et nginx. Et j'suis pas un fou furieux non plus, c'est simple et rapide à faire.
Et pour tout les artistes etc... comme tu le mentionnes, il y a des solutions tout à fait efficaces en ligne pour réaliser des sites professionnels de qualité sans faire de code non plus (carbonmade, squarespace et autres) et qui proposent bien sûr de l'https.

Pages

CONNEXION UTILISATEUR