Mise à jour 03/03 — Apple officialise dans une note technique les délais limites apportés aux certificats TLS. Rien de nouveau par rapport à l'article ci-dessous, mais voilà, c'est noir sur blanc.
À compter du premier septembre 2020, Safari n’acceptera plus les certificats HTTPS trop longs. Seuls ceux qui expirent au maximum sous 389 jours, soit 13 mois, seront acceptés par le navigateur. Cette nouvelle politique rapportée par The Register a été annoncée cette semaine par Apple auprès du CA/Browser forum, un consortium qui regroupe les créateurs de navigateurs web et les autorités qui délivrent les certificats HTTPS.
Un certificat HTTPS est indispensable pour que la connexion entre votre navigateur web et le site internet que vous visitez soit sécurisée, et donc pour que l’URL passe en https:// et que les navigateurs modernes n’affichent pas d’erreur. Ce certificat permet de garantir que c’est le bon site qui est chargé, et pas une copie créée par un tiers malveillant, par exemple à des fins de phishing. Pour obtenir un certificat valide, le créateur du site doit prouver qu’il est bien légitime.
Il y a différents types de vérifications et plusieurs niveaux de sécurité associés à chaque type. Les certificats les plus courants sont liés uniquement à l’association d’un nom de domaine et d’un serveur. Si vous possédez les droits sur le nom de domaine et que vous pouvez modifier ses paramètres pour l’associer à un serveur, vous pouvez recevoir un certificat de courte durée.
Les certificats gratuits de Let’s Encrypt, qui est devenu le numéro un du secteur depuis sa création en 2015, expirent après trois mois seulement. Ils doivent être renouvelés au maximum tous les 90 jours, ce qui permet de vérifier à chaque fois que vous êtes toujours le propriétaire légitime du domaine. Safari n’aura aucun problème avec ce type de certificats, qui oblige de toute manière à prévoir un renouvellement automatisé et donc à multiplier les vérifications.
Les certificats HTTPS payants étaient la seule option avant l’arrivée de Let’s Encrypt, mais ils restent disponibles sur le marché. Ils se basent sur une vérification plus sérieuse du propriétaire du site, et sont donc considérés comme plus sûrs par les navigateurs web. Ils sont plus compliqués à obtenir et doivent souvent être gérés manuellement, mais en contrepartie, ils sont valides bien plus longtemps. Au maximum, un certificat HTTPS peut être valide pendant 825 jours, soit deux ans, trois mois et des poussières.
Apple veut réduire cette durée maximale par plus de deux, avec des certificats qui expirent au maximum après un an et un mois. Précision importante, la politique ne concernera que les nouveaux certificats créés à partir du premier septembre 2020. Ceux qui avaient été créés avant cette date seront toujours acceptés par Safari. L’objectif est de multiplier les vérifications, comme pour les variantes payantes, mais aussi de permettre un renouvellement plus rapide pour accélérer les transitions technologiques. La sécurité des certificats se renforce régulièrement et en les renouvelant tous les ans, les nouveautés seront généralisées plus vite.
La firme de Cupertino n’est pas le seul acteur qui souhaite réduire la durée de vie des certificats. En août 2019, Google avait soumis au CA/Brower forum l’idée de restreindre tous les certificats HTTPS à un an, mais la proposition avait été rejetée par le consortium. Apple trouvait manifestement que l’idée était bonne et a choisi de passer outre l’avis de la majorité.
Safari pesant de tout son poids dans le monde des navigateurs grâce à iOS, on imagine que la politique deviendra rapidement la norme pour tout le monde et que le consortium finira par l’entériner.
Photo d’accroche : Chepe Nicoli