Validité d'un an pour les certificats HTTPS : Google et Mozilla suivent Apple

Stéphane Moussie |

Google et Mozilla se sont alignés sur la position d'Apple concernant la validité des certificats HTTPS. En mars, Apple annonçait un changement à venir dans sa gestion des certificats HTTPS : à compter du 1er septembre 2020, Safari n’acceptera plus que les certificats ayant une durée de vie de 389 jours au maximum. Chrome et Firefox vont faire de même, signale ZDNet.

Exemple d'avertissement sur Firefox quand le certificat est invalide.

Les certificats HTTPS sont devenus un élément essentiel du web : ils assurent le chiffrement de la connexion entre votre navigateur et le site visité, et permettent de vérifier l'authenticité du site (quand vous cliquez sur l'icône de cadenas dans la barre d'adresse). Sans certificat valide, les navigateurs affichent une alerte recommandant de ne pas visiter le site.

Alors que la politique en matière de certificats HTTPS est normalement conduite par le CA/B Forum, un groupe rassemblant une trentaine d'autorités de certification et les cinq plus gros éditeurs de navigateurs, Apple a décidé unilatéralement de raccourcir, de fait, la validité des certificats de deux ans à un an environ.

L’objectif est de multiplier les vérifications et de permettre un renouvellement plus rapide pour accélérer les transitions technologiques. La sécurité des certificats se renforce en effet régulièrement et en les renouvelant tous les ans, les nouveautés seront généralisées plus vite.

Certaines autorités de certification étaient opposées à cette mesure, mais elles n'auront d'autres choix que de s'y plier, les trois principaux navigateurs appliquant bientôt le changement. « Nous ne voyons aucun gain de sécurité ou d'autres avantages en réduisant la durée de vie des certificats », déclare D-Trust dans une réponse envoyée au CA/B Forum.

Microsec avertit pour sa part que ses frais annuels pourraient « augmenter significativement » en raison des vérifications plus fréquentes qu'elle devra réaliser. Bien qu'elle soit déjà prête, cette autorité de certification n'a pas encore mis en pratique ce changement par crainte d'être plus chère que ses concurrents.

avatar lesurfeurfou | 

Je note que les url ne s’affichent plus en vert, normal ?

avatar free00 | 

Tu parles des certificats DV ou EV ?

avatar Mrleblanc101 | 

@lesurfeurfou

Ca fait longtemps... Il était facile de faire un site mal intentionné et d'y ajouter un certificat HTTPS pour avoir une URL verte qui faisait croire que le site était légitime.

Maintenant, les URLs HTTPS ne sont plus considéré comme "sécurisé" et HTTP "normal". Le HTTPS est considéré comme "normal" et le HTTP comme "non sécurisé".

avatar melaure | 

@Mrleblanc101

Ca risque d’etre compliqué a gérer pour les gens non techniques qui se font un petit site perso avec des générateurs de site comme RapidWeaver ou plus anciennement iweb ...

avatar pocketjpaul | 

@melaure

Non du tout.

La plupart des hébergeurs offrent un certificat https de nos jours (mis en place automatiquement).

Pour les gens qui ont leurs propres serveurs, une petite installation de let’s encrypt et c’est réglé. C’est très simple à faire, installation et renouvellement automatique gratuits.

Ce sont des certificats qui n’apportent que le chiffrement de la connexion et aucune autre assurance, mais c’est l’argent suffisant pour qui ne souhaite pas assurer les données qui transitent par son site web (en gros si tu traites pas de données sensibles).

avatar oomu | 

"Pour les gens qui ont leurs propres serveurs, une petite installation de let’s encrypt et c’est réglé. C’est très simple à faire, installation et renouvellement automatique gratuits."

non, ce n'est pas "très simple à faire".

et certainement PAS pour des personnes non techniques (artistes, artisan, hobbyistes, petite asso) qui voulaient juste un site web perso et auto-hebergé.

avatar heu | 

@oomu

L’artisan n’héberge pas son site sur son serveur. Il passe par un prestataire qui lui, va lui générer un certificat avec let’s encrypt.

avatar Mrleblanc101 | 

@melaure

Quel est le rapport ? Absolument rien n'as changer par rapport à avant. Simplement l'URL n'est plus verte en HTTPS. Et seul les sites avec un formulaire sont marqué non-sécurisé en HTTP

avatar lesurfeurfou | 

@Mrleblanc101

👍

avatar free00 | 

L’article ne précise pas les certificats issues des autorités d’entreprise (par exemple .corp), y-a-t-il aussi des changements de ce côté ?

avatar koko256 | 

Les certificats ne servent plus à chiffrer les connexions. Seulement à signer.

avatar dodomu | 

@koko256

Heu... Si en fait ?
Édit: voir la réponse de xDave, plus complète que la mienne 😇

avatar koko256 | 

@dodomu

Sa réponse confirme ce que je dis. Le certificat permet d'authentifier (j'ai écrit signé car c'est un algo de signature qui est utilisé mais authentifier est un meilleur terme). Le chiffrement se fait avec un algo de génération de secret partagé (en général ECDHE ou RSA voire DH mais comme il est un peu cassé c'est une mauvaise idée) et de l'AES/GCM et autre AEAD.

avatar koko256 | 

@dodomu

Pour préciser, on pourrait chiffrer avec un certificat mais ce n'est pas utilisé sur le web. C'est une mauvaise idée car il faut utiliser sa clé privée le moins possible pour réduire les chances de compromission.

avatar dodomu | 

@koko256

Sauf que c’est le dit certificat qui contient les informations permettant d’établir la connexion sécurisée (les algorithmes supportés par exemple), il est donc utile et utilisé pour le chiffrement de la connexion.

avatar koko256 | 

@dodomu

Non. Le certificat ne mentionne que les algos compatibles avec les clés publiques qu'il contient mais rien pour le chiffrement de la connexion TLS. C'est d'ailleurs la base de la forward secrecy.

avatar dodomu | 

@koko256

Il contient aussi accessoirement la clé publique à utiliser dans le cadres du chiffrement RSA, difficile d’établir une connexion chiffrée sans 😉

avatar Iounmoutef | 

@Melaure. J’ai été confronté au problème pour les dizaines de sites réalisés pour mes clients (ou pour moi-même). Heureusement un ami m’a donné les bons renseignements (désolé mais je suis en déplacement et je n’ai pas ces éléments avec moi) : émetteur de certificats gratuits, procédures d’installation... et renouvellement automatique. Tout ceci complique pas mal la vie des animateurs des « petits » sites. Le net est de plus en plus entre les mains des « gros »... contrairement aux promesses de ses débuts.

avatar oomu | 

"Le net est de plus en plus entre les mains des « gros »... "

oui

on le rend "administrativement" lourdingue, pour que vous jetiez l'éponge et payiez le Oomu. (y a bon sousous dans popoche oomu)

"contrairement aux promesses de ses débuts."

ce ne fut jamais une promesse du web.

Par contre ses "promesses" étaient :
- universel (marche sur toute machine)
- ouvert (pas un éditeur en particulier à contacter pour avoir le sésame)
- académique, partage de la connaissance, hypertexte tout ça
- SIMPLE

avatar abioninho | 

‘Risque probable de sécurité’

C’est quelle Langue ?

avatar pagaupa | 

La loi du plus fort ...

avatar pacou | 

Let’s encrypt : 90 jours
Tout est dit.

avatar Link1993 | 

Y'a Darknet Diares qui avait fait un super épisode sur un hacking de CA en 2011. Ça va bien avec le sujet ! 😉

https://podcasts.apple.com/fr/podcast/darknet-diaries/id1296350485?i=100...

avatar MarcMame | 

« Les certificats HTTPS sont devenus un élément essentiel du web : ils assurent le chiffrement de la connexion entre votre navigateur et le site visité »

——————
A ma connaissance, les certificats n’ont aucun rôle actif dans le chiffrement des connexions. Ils ne servent qu’à s’assurer de la légitimité de cette connexion et à rien d’autre.
Sans certificat le chiffrement reste valable. On a juste un message flippant du navigateur.

Dites moi si je me trompe.

avatar xDave | 

Les certificats servent à authentifier / certifier de l'identité (ici du site).
Ils contiennent plusieurs bouts de données comme (numéro de série du certif, algorithme de chiffrement utilisé, nom de l'autorité de certif, dates début/fin de validité, clé publique, …)

On peut avoir un certificat auto-signé (pour un usage perso/privé mais qui n'empêchera pas l'affichage du message "flippant" à la première connexion sauf si le poste client est configuré au préalable*) ou un certificat délivré par une autorité de certification (CA), ce dont on parle dans l'article.

*Dans le cas d'un intranet ou d'un site de test, on connait les utilisateurs doc on peut gérer "facilement" le certificat et le distribuer, alors que sur un site public les utilisateurs sont inconnus (anonymes) d'où le fait de passer par un tiers (l'autorité de Certification) pour "garantir" l'authenticité du site

Pages

CONNEXION UTILISATEUR